Debians sikkerhedsbulletin

DSA-4164-1 apache2 -- sikkerhedsopdatering

Rapporteret den:
3. apr 2018
Berørte pakker:
apache2
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2017-15710, CVE-2017-15715, CVE-2018-1283, CVE-2018-1301, CVE-2018-1303, CVE-2018-1312.
Yderligere oplysninger:

Flere sårbarheder er fundet i Apache HTTPD-serveren.

  • CVE-2017-15710

    Alex Nichols og Jakob Hirsch rapporterede at mod_authnz_ldap, hvis opsat med AuthLDAPCharsetConfig, kunne forårsage en skrivning uden for grænserne, hvis der blev leveret en fabrikeret Accept-Language-header. Det kunne potentielt anvendelse til et lammelsesangreb.

  • CVE-2017-15715

    Elar Lang opdagede at udtryk angivet i <FilesMatch>, kunne matche '$' til en newlinetegn i et ondsindet fremstillet filnavn, frem for kun at matche slutningen af filnavnet. Det kunne udnyttes i miljøer hvor upload af nogle filer blokeres eksternt, men kun ved at matche den afsluttende del af filnavnet.

  • CVE-2018-1283

    Når mod_session er opsat til at viderestille sine sessionsdata til CGI-applikationer (SessionEnv on, ikke som standard), en fjernbruger kunne påvirke deres indhold ved at anvende en Session-header.

  • CVE-2018-1301

    Robert Swiecki rapporterede at en særligt fremstillet forespørgsel kunne have fået Apache HTTP-serveren til at gå ned, på grund af en tilgang uden for grænserne efter en størrelsesgrænse er nået, ved at læse HTTP-headeren.

  • CVE-2018-1303

    Robert Swiecki rapporterede at en særligt fremstillet HTTP-forespørgselssheader kunne have fået Apache HTTP-serveren til at gå ned, hvis mod_cache_socache anvendes, på grund af en læsning uden for grænserne, mens data forberedes til at blive cachet i delt hukommelse.

  • CVE-2018-1312

    Nicolas Daniels opdagede at når der blev genereret en HTTP Digest-autentifikationschallenge, var den nonce der sendes af mod_auth_digest til at forhindre replay-angreb, ikke genereret korrekt ved hjælp af en pseudo-random seed. I en serverklynge, der anvender en fælles Digest-autentifikationsopsætning, kunne HTTP-forespørgsler blive genafspillet på tværs af servere af en angriber, uden at blive opdaget.

I den gamle stabile distribution (jessie), er disse problemer rettet i version 2.4.10-10+deb8u12.

I den stabile distribution (stretch), er disse problemer rettet i version 2.4.25-3+deb9u4.

Vi anbefaler at du opgraderer dine apache2-pakker.

For detaljeret sikkerhedsstatus vedrørende apache2, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/apache2