Информация по безопасности / 2018 / Информация о безопасности -- DSA-4164-1 apache2

Рекомендация Debian по безопасности

DSA-4164-1 apache2 -- обновление безопасности

Дата сообщения:

03.04.2018

Затронутые пакеты:

apache2

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2017-15710, CVE-2017-15715, CVE-2018-1283, CVE-2018-1301, CVE-2018-1303, CVE-2018-1312.

Более подробная информация:

В HTTPD-сервере Apache было обнаружено несколько уязвимостей.

• CVE-2017-15710

  Алекс Нихолс и Якоб Хирш сообщили, что модуль mod_authnz_ldap в случае его настройки с AuthLDAPCharsetConfig может вызывать запись за пределами выделенного буфера памяти при получении специально сформированного заголовка Accept-Language. Это потенциально может использоваться для вызва отказа в обслуживании.

• CVE-2017-15715

  Элар Ланг обнаружил, что выражение, указываемое в <FilesMatch> может приводить в соответствие '$' с символом новой строки в имени файла, а не только концу имени файла. Это может использоваться в окружениях, в которых загрузки некоторых файлов блокируются внешними средствами, но лишь по окончанию имени файла.

• CVE-2018-1283

  Если модуль mod_session настроен на перенаправление данных сессии в CGI-приложения (SessionEnv on, не по умолчанию), удалённый пользователь может повлиять на их содержимое с помощью заголовка Session.

• CVE-2018-1301

  Роберт Свики сообщил, что специально сформированный запрос может вызвать аварийную остановку HTTP-сервера Apache из-за обращения к области памяти за пределами выделенного буфера после достижения ограничения размера по чтению HTTP-заголовка.

• CVE-2018-1303

  Роберт Свики сообщил, что специально сформированный заголовок HTTP-запроса может вызвать аварийную остановку HTTP-сервера Apache в случае использования модуля mod_cache_socache. Проблема возникает из-за чтения области памяти за пределами выделенного буфера в ходе подготовки данных для их кэширования в совместно используемую память.

• CVE-2018-1312

  Николас Дэниелс обнаружил, что при создании вызова дайджест-аутентификации случайный код, отправляемый модулем mod_auth_digest с целью предотвращения атак по ответам, создаётся неправильно с использованием псевдослучайного вектора генерации. В кластере серверов, использующих общие настройки дайджест-аутентификации, HTTP-запросы могут без обнаружения быть повторены злоумышленником для нескольких серверов.

В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены в версии 2.4.10-10+deb8u12.

В стабильном выпуске (stretch) эти проблемы были исправлены в version 2.4.25-3+deb9u4.

Рекомендуется обновить пакеты apache2.

С подробным статусом поддержки безопасности apache2 можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/apache2