Säkerhetsbulletin från Debian

DSA-3896-1 apache2 -- säkerhetsuppdatering

Rapporterat den:
2017-06-22
Berörda paket:
apache2
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2017-3167, CVE-2017-3169, CVE-2017-7659, CVE-2017-7668, CVE-2017-7679.
Ytterligare information:

Flera sårbarheter har upptäckts i Apache HTTPD-server.

  • CVE-2017-3167

    Emmanuel Dreyfus rapporterade att användningen av ap_get_basic_auth_pw() av tredjepartsmoduler utanför autentiseringsfasen kan leda till förbigång av autentiseringskrav.

  • CVE-2017-3169

    Vasileios Panopoulos från AdNovum Informatik AG upptäckts att mod_ssl kan dereferera en NULL-pekare när tredjepartsmoduler anropar ap_hook_process_connection() under en HTTP-förfrågan till en HTTPS-port vilket leder till överbelastning.

  • CVE-2017-7659

    Robert Swiecki rapporterade att en speciellt skapad HTTP/2-förfrågan kunde orsaka mod_http2 att dereferera en NULL-pekare och krascha serverprocessen.

  • CVE-2017-7668

    Javier Jimenez rapporterade att HTTP-strict tolkning innehåller en brist vilket leder till överläsning av en buffer i ap_find_token(). En fjärrangripare kan dra fördel av denna brist genom att noggrant skapa en sekvens av förfrågehuvuden för att orsaka ett segmentationsfel, eller att tvinga ap_find_token() att returnera ett felaktigt värde.

  • CVE-2017-7679

    ChenQin och Hanno Boeck rapporterade att mod_mime kan läsa en byte förbi slutet på en buffer vid skickning av en illasinnat Content-Type- svarshuvud.

För den gamla stabila utgåvan (Jessie) har dessa problem rättats i version 2.4.10-10+deb8u9. Den gamla stabila utgåvan (Jessie) påverkas inte av CVE-2017-7659.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 2.4.25-3+deb9u1.

För den instabila distributionen (Sid) har dessa problem rättats i version 2.4.25-4.

Vi rekommenderar att ni uppgraderar era apache2-paket.