Информация по безопасности / 2017 / Информация о безопасности -- DSA-3796-1 apache2

Рекомендация Debian по безопасности

DSA-3796-1 apache2 -- обновление безопасности

Дата сообщения:

26.02.2017

Затронутые пакеты:

apache2

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2016-0736, CVE-2016-2161, CVE-2016-8743.

Более подробная информация:

В HTTP-сервере Apache2 было обнаружено несколько уязвимостей.

• CVE-2016-0736

  Сотрудники RedTeam Pentesting GmbH обнаружили, что модуль mod_session_crypto уязвим к атакам через предсказание дополнения, что может позволить злоумышленнику отгадать куки сессии.

• CVE-2016-2161

  Максим Малютин обнаружил, что некорректные входные данные, передаваемые модулю mod_auth_digest, могут вызывать аварийную остановку сервера, приводя к отказу в обслуживании.

• CVE-2016-8743

  Дэвид Деннерлайн из IBM Security's X-Force Researchers и Регис Лерой обнаружили проблемы в способе, используемом Apache для обработки основного шаблона необычных шаблонов пробельных символов в HTTP-запросах. При некоторых настройках это может приводить к разбивке ответа или заражению кэша. Для исправления указанных проблем в данном обновлении были изменены настройки Apache httpd так, чтобы служба более строго отбирала принимаемые HTTP-запросы.

  Если это будет приводить к проблемам в работе клиентов, то некоторые проверки можно отключить путём добавления новой директивы HttpProtocolOptions unsafe в файл настроек.

Кроме того, данное обновление исправляет проблему, из-за которой модуль mod_reqtimeout не включался по умолчанию на свежих установках.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 2.4.10-10+deb8u8.

В тестируемом (stretch) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 2.4.25-1.

Рекомендуется обновить пакеты apache2.