Рекомендация Debian по безопасности
DSA-3896-1 apache2 -- обновление безопасности
- Дата сообщения:
- 22.06.2017
- Затронутые пакеты:
- apache2
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2017-3167, CVE-2017-3169, CVE-2017-7659, CVE-2017-7668, CVE-2017-7679.
- Более подробная информация:
-
В HTTPD-сервере Apache было обнаружено несколько уязвимостей.
- CVE-2017-3167
Эммануэль Дрейфус сообщил, что использование ap_get_basic_auth_pw() сторонними модулями за пределами фазы аутентификации может приводить к обходу требований аутентификации.
- CVE-2017-3169
Василеос Панопулос из AdNovum Informatik AG обнаружил, что в модуле mod_ssl может происходить разыменование NULL-указателя при вызове ap_hook_process_connection() сторонними модулями во время HTTP-запроса на порт HTTPS, что приводит к отказу в обслуживании.
- CVE-2017-7659
Роберт Свики сообщил, что специально сформированный запрос HTTP/2 может приводить к тому, что модуль mod_http2 выполняет разыменование NULL-указателя и аварийно завершает работу серверного процесса.
- CVE-2017-7668
Хавьер Хименез сообщил, что в коде для строгого грамматического разбора HTTP содержится уязвимость, приводящая к чтению за пределами буфера в ap_find_token(). Удалённый злоумышленник может использовать эту уязвимость с помощью специально сформированной последовательности заголовков запросов для вызова ошибки сегментирования, либо для того, чтобы функция ap_find_token() вернула некорректное значение.
- CVE-2017-7679
Чэнь Цинь и Ханно Бёк сообщили, что модуль mod_mime может выполнять чтение одного байта за пределами буфера при отправке вредоносного заголовка Content-Type ответа.
В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены в версии 2.4.10-10+deb8u9. Предыдущий стабильный выпуск (jessie) не подвержен CVE-2017-7659.
В стабильном выпуске (stretch) эти проблемы были исправлены в версии 2.4.25-3+deb9u1.
В нестабильном выпуске (sid) эти проблемы были исправлены в версии 2.4.25-4.
Рекомендуется обновить пакеты apache2.
- CVE-2017-3167