Säkerhetsbulletin från Debian
DSA-3325-1 apache2 -- säkerhetsuppdatering
- Rapporterat den:
- 2015-08-01
- Berörda paket:
- apache2
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2015-3183, CVE-2015-3185.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i HTTPD-servern Apache.
- CVE-2015-3183
Ett HTTP-förfrågesmugglingsangrepp var möjligt tack var ett fel i tolkning av segmentförfrågningar. En illasinnad klient kunde tvinga servern att feltolka förfrågelängden, vilket tillåter cache-förgiftning eller referenskapning om en mellanhandsproxy används.
- CVE-2015-3185
Ett designfel i funktionen
ap_some_auth_required
renderar APIet oanvändbart i apache2 2.4.x. Detta kunde leda till att moduler som använder detta API tillåter åtkomst när de inte bör göra så. Rättningen bakåtanpassar det nyaap_some_authn_required
-APIet från 2.4.16. Detta problem påverkar inte den gamla stabila utgåvan (Wheezy).
Utöver detta tar det uppdaterade paketet för den gamla stabila utgåvan (Wheezy) bort en begränsning i Diffie-Hellman (DH)-parametrar till 1024 bitar. Denna begränsning kan potentiellt tillåta en angripare med väldigt stora beräkningsresurser, som en nationsstat, att förstöra DH-nyckelutbyte genom förberäkning. Det uppdaterade apache2-paketet tillåter även att konfigurera anpassade DH-parametrar. Mer information finns i changelog.Debian.gz. Dessa förbättringar fanns redan i den stabila, uttestningsutgåvan, och den instabila utgåvan.
För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 2.2.22-13+deb7u5.
För den stabila utgåvan (Jessie) har dessa problem rättats i version 2.4.10-10+deb8u1.
För uttestningsutgåvan (Stretch) kommer dessa problem att rättas inom kort.
För den instabila utgåvan (Sid) kommer dessa problem att rättas inom kort.
Vi rekommenderar att ni uppgraderar era apache2-paket.
- CVE-2015-3183