Рекомендация Debian по безопасности
DSA-3796-1 apache2 -- обновление безопасности
- Дата сообщения:
- 26.02.2017
- Затронутые пакеты:
- apache2
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2016-0736, CVE-2016-2161, CVE-2016-8743.
- Более подробная информация:
-
В HTTP-сервере Apache2 было обнаружено несколько уязвимостей.
- CVE-2016-0736
Сотрудники RedTeam Pentesting GmbH обнаружили, что модуль mod_session_crypto уязвим к атакам через предсказание дополнения, что может позволить злоумышленнику отгадать куки сессии.
- CVE-2016-2161
Максим Малютин обнаружил, что некорректные входные данные, передаваемые модулю mod_auth_digest, могут вызывать аварийную остановку сервера, приводя к отказу в обслуживании.
- CVE-2016-8743
Дэвид Деннерлайн из IBM Security's X-Force Researchers и Регис Лерой обнаружили проблемы в способе, используемом Apache для обработки основного шаблона необычных шаблонов пробельных символов в HTTP-запросах. При некоторых настройках это может приводить к разбивке ответа или заражению кэша. Для исправления указанных проблем в данном обновлении были изменены настройки Apache httpd так, чтобы служба более строго отбирала принимаемые HTTP-запросы.
Если это будет приводить к проблемам в работе клиентов, то некоторые проверки можно отключить путём добавления новой директивы
HttpProtocolOptions unsafe
в файл настроек.
Кроме того, данное обновление исправляет проблему, из-за которой модуль mod_reqtimeout не включался по умолчанию на свежих установках.
В стабильном выпуске (jessie) эти проблемы были исправлены в версии 2.4.10-10+deb8u8.
В тестируемом (stretch) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 2.4.25-1.
Рекомендуется обновить пакеты apache2.
- CVE-2016-0736