Säkerhetsinformation / 2017 / Säkerhetsinformation -- DSA-3896-1 apache2

Säkerhetsbulletin från Debian

DSA-3896-1 apache2 -- säkerhetsuppdatering

Rapporterat den:

2017-06-22

Berörda paket:

apache2

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2017-3167, CVE-2017-3169, CVE-2017-7659, CVE-2017-7668, CVE-2017-7679.

Ytterligare information:

Flera sårbarheter har upptäckts i Apache HTTPD-server.

• CVE-2017-3167

  Emmanuel Dreyfus rapporterade att användningen av ap_get_basic_auth_pw() av tredjepartsmoduler utanför autentiseringsfasen kan leda till förbigång av autentiseringskrav.

• CVE-2017-3169

  Vasileios Panopoulos från AdNovum Informatik AG upptäckts att mod_ssl kan dereferera en NULL-pekare när tredjepartsmoduler anropar ap_hook_process_connection() under en HTTP-förfrågan till en HTTPS-port vilket leder till överbelastning.

• CVE-2017-7659

  Robert Swiecki rapporterade att en speciellt skapad HTTP/2-förfrågan kunde orsaka mod_http2 att dereferera en NULL-pekare och krascha serverprocessen.

• CVE-2017-7668

  Javier Jimenez rapporterade att HTTP-strict tolkning innehåller en brist vilket leder till överläsning av en buffer i ap_find_token(). En fjärrangripare kan dra fördel av denna brist genom att noggrant skapa en sekvens av förfrågehuvuden för att orsaka ett segmentationsfel, eller att tvinga ap_find_token() att returnera ett felaktigt värde.

• CVE-2017-7679

  ChenQin och Hanno Boeck rapporterade att mod_mime kan läsa en byte förbi slutet på en buffer vid skickning av en illasinnat Content-Type- svarshuvud.

För den gamla stabila utgåvan (Jessie) har dessa problem rättats i version 2.4.10-10+deb8u9. Den gamla stabila utgåvan (Jessie) påverkas inte av CVE-2017-7659.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 2.4.25-3+deb9u1.

För den instabila distributionen (Sid) har dessa problem rättats i version 2.4.25-4.

Vi rekommenderar att ni uppgraderar era apache2-paket.