Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3623-1 apache2

Debians sikkerhedsbulletin

DSA-3623-1 apache2 -- sikkerhedsopdatering

Rapporteret den:

20. jul 2016

Berørte pakker:

apache2

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2016-5387.

Yderligere oplysninger:

Scott Geary fra VendHQ opdagede at Apache HTTPD-serveren anvendte værdien fra Proxy-headeren fra HTTP-forespørgler, til at initialisere miljøvariablen HTTP_PROXY til CGI-skripter, hvilket dernæst blev anvendt ukorrekt af visse HTTP-klientimplementeringer til opsætning af proxyen til udgående HTTP-forespørgsler. En fjernangriber kunne muligvis udnytte fejlen til at viderestille HTTP-forespørgsler udført at et CGI-skript gennem en ondsindet HTTP-forespørgsel til en proxy, der er kontrolleret af en angriber.

I den stabile distribution (jessie), er dette problem rettet i version 2.4.10-10+deb8u5.

Vi anbefaler at du opgraderer dine apache2-pakker.