Säkerhetsbulletin från Debian
DSA-3623-1 apache2 -- säkerhetsuppdatering
- Rapporterat den:
- 2016-07-20
- Berörda paket:
- apache2
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2016-5387.
- Ytterligare information:
-
Scott Geary från VendHQ upptäckte att HTTPD-servern Apache använder värdet från Proxy-rubriken från HTTP-förfrågningar för att initiera miljövariabeln HTTP_PROXY för CGI-skript, vilket i sin tur felaktigt användes av vissa implementationer av HTTP-klienter för att konfigurera proxyn för utgående HTTP-förfrågningar. En fjärrangripare kunde möjligen använda denna brist för att omdirigera HTTP-förfrågningar som utförts av ett CGI-skript till en proxy som kontrolleras av angriparen via en illasinnad HTTP-förfrågan.
För den stabila utgåvan (Jessie) har detta problem rättats i version 2.4.10-10+deb8u5.
Vi rekommenderar att ni uppgraderar era apache2-paket.