Bulletin d'alerte Debian

DSA-3896-1 apache2 -- Mise à jour de sécurité

Date du rapport :
22 juin 2017
Paquets concernés :
apache2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-3167, CVE-2017-3169, CVE-2017-7659, CVE-2017-7668, CVE-2017-7679.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le serveur HTTPD Apache.

  • CVE-2017-3167

    Emmanuel Dreyfus a signalé que l'utilisation d'ap_get_basic_auth_pw() par les modules tiers en dehors de la phase d'authentification pourrait mener à un contournement des exigences d'authentification.

  • CVE-2017-3169

    Vasileios Panopoulos d'AdNovum Informatik AG a découvert que mod_ssl peut déréférencer un pointeur NULL lorsque des modules tiers appellent ap_hook_process_connection() pendant une requête HTTP à un port HTTPS menant à un déni de service.

  • CVE-2017-7659

    Robert Swiecki a signalé qu'une requête HTTP/2 contrefaite pour l'occasion pourrait forcer mod_http2 à déréférencer un pointeur NULL et planter le processus du serveur.

  • CVE-2017-7668

    Javier Jimenez a signalé que l'analyse d'HTTP strict renfermait un défaut menant à une lecture hors limite de tampon dans ap_find_token(). Un attaquant distant peut tirer avantage de ce défaut en contrefaisant soigneusement une séquence d'en-têtes de requêtes pour provoquer une erreur de segmentation, ou à forcer ap_find_token() à renvoyer une valeur incorrecte.

  • CVE-2017-7679

    ChenQin et Hanno Boeck ont signalé que mod_mime peut lire un octet au-delà la fin d'un tampon lors de l'envoi d'un en-tête de réponse Content-Type malveillant.

Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 2.4.10-10+deb8u9. La distribution oldstable (Jessie) n'est pas affectée par CVE-2017-7659.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 2.4.25-3+deb9u1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.4.25-4.

Nous vous recommandons de mettre à jour vos paquets apache2.