Bulletin d'alerte Debian
DSA-3796-1 apache2 -- Mise à jour de sécurité
- Date du rapport :
- 26 février 2017
- Paquets concernés :
- apache2
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2016-0736, CVE-2016-2161, CVE-2016-8743.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans le serveur HTTP Apache2.
- CVE-2016-0736
RedTeam Pentesting GmbH a découvert que mod_session_crypto était vulnérable à des attaques d'oracle par remplissage qui pourraient permettre à un attaquant de deviner le cookie de session.
- CVE-2016-2161
Maksim Malyutin a découvert que des entrées malveillantes pour mod_auth_digest pourraient faire planter le serveur, provoquant un déni de service.
- CVE-2016-8743
David Dennerline, des X-Force Researchers de sécurité d'IBM, et Régis Leroy ont découvert des problèmes dans la manière dont Apache gérait un motif large de motifs d'espace inhabituels dans des requêtes HTTP. Dans certaines configurations, cela pourrait conduire à des vulnérabilités de découpage de réponse ou de pollution de cache. Pour corriger ces problèmes, cette mise à jour rend Apache httpd plus strict dans le choix des requêtes HTTP qu'il accepte.
Si cela provoque des problèmes avec des clients non conformes, certaines vérifications peuvent être assouplies en ajoutant la nouvelle directive
HttpProtocolOptions unsafe
à la configuration.
Cette mise à jour corrige aussi le problème de la non-activation par défaut de mod_reqtimeout dans les nouvelles installations.
Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 2.4.10-10+deb8u8.
Pour la distribution testing (Stretch) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.4.25-1.
Nous vous recommandons de mettre à jour vos paquets apache2.
- CVE-2016-0736