Информация по безопасности / 2015 / Информация о безопасности -- DSA-3325-1 apache2

Рекомендация Debian по безопасности

DSA-3325-1 apache2 -- обновление безопасности

Дата сообщения:

01.08.2015

Затронутые пакеты:

apache2

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2015-3183, CVE-2015-3185.

Более подробная информация:

В HTTPD-сервере Apache было обнаружено несколько уязвимостей.

• CVE-2015-3183

  Возможна тайная отправка запросов HTTP из-за ошибки в коде, выполняющем грамматический разбор порционных запросов. Злоумышленник может заставить сервер неправильно интерпретировать длину запроса, что позволяет выполнить изменение кэша или перехват данных учётной записи в случае использоваться прокси между клиентом и сервером.

• CVE-2015-3185

  Ошибка разработки в функции ap_some_auth_required делает невозможным использование API в apache2 версий 2.4.x. Это может приводить к тому, что модули, использующие API, будут получать доступ даже если в противном случае они бы его не получили. Исправление представляет собой обратный перенос нового API ap_some_authn_required из версии 2.4.16. Данная ошибка не затрагивает предыдущий стабильный выпуск (wheezy).

Кроме того, в обновлённом пакете для предыдущего стабильного выпуска (wheezy) снято ограничение параметров протокола Диффи-Хеллмана (DH) 1024 битами. Данное ограничение потенциально может позволить злоумышленнику, имеющему очень большие вычислительные ресурсы (например, государству) взломать обмен ключами по указанному протоколу с помощью предварительных вычислений. Обновлённый пакет apache2 также позволяет выбрать собственные параметры DH. Дополнительная информация содержится в файле changelog.Debian.gz. Данные улучшения уже присутствуют в стабильном, тестируемом и нестабильном выпусках.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 2.2.22-13+deb7u5.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 2.4.10-10+deb8u1.

В тестируемом выпуске (stretch) эти проблемы будут исправлены позже.

В нестабильном выпуске (sid) эти проблемы будут исправлены позже.

Рекомендуется обновить пакеты apache2.