Debians sikkerhedsbulletin

DSA-4422-1 apache2 -- sikkerhedsopdatering

Rapporteret den:
3. apr 2019
Berørte pakker:
apache2
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 920302, Fejl 920303.
I Mitres CVE-ordbog: CVE-2018-17189, CVE-2018-17199, CVE-2019-0196, CVE-2019-0211, CVE-2019-0217, CVE-2019-0220.
Yderligere oplysninger:

Flere sårbarheder er fundet i Apaches HTTP-server.

  • CVE-2018-17189

    Gal Goldshtein fra F5 Networks opdagede en lammelsesangrebssårbarhed i mod_http2. Ved at sende misdannede forespørgsler, lagde http/2-strømmen til denne forespørgsel unødvendigt beslag på en servertråd til oprydning af indkommende data, medførende lammelsesangreb.

  • CVE-2018-17199

    Diego Angulo fra ImExHS opdagede at mod_session_cookie ikke respekterede udløbstiden.

  • CVE-2019-0196

    Craig Young opdagede at http/2-forespørgselshåndteringen i mod_http2 kunne bringes til at tilgå frigivet hukommelse i strengsammenligninger, når forespørgslens metode blev afgjort, og dermed blev forespørgsel behandlet forkert.

  • CVE-2019-0211

    Charles Fol opdagede en rettighedsforøgelse fra en mindre priviligeret barneproces til forælderprocessen, der kører som root.

  • CVE-2019-0217

    En kapløbstilstand i mod_auth_digest, når der køres i en threaded server, kunne gøre det muligt for en bruger med gyldige loginoplysninger, at autentificere sig med et andet brugernavn, og dermed omgå opsatte adgangskontrolbegrænsninger. Problemet blev opdaget af Simon Kappel.

  • CVE-2019-0220

    Bernhard Lorenz fra Alpha Strike Labs GmbH rapporterede at URL-normaliseringerne blev behandlet inkonsekvent. Når stikomponenten i en forespørgsels-URL indeholder adskillige på hinanden følgende skråstreger ('/'), tog direktiver så som LocationMatch og RewriteRule hensyn til duplikater i reuglære udtræk, mens andre aspekter ved serverbehandlingen implicit slog dem sammen.

I den stabile distribution (stretch), er disse problemer rettet i version 2.4.25-3+deb9u7.

Denne opdatering indeholder også fejlrettelser, der var planlagt til at blive medtaget i den næste stabile punktopdatering. Herunder en rettelse af en regression, forårsaget af en sikkerhedsrettelse i version 2.4.25-3+deb9u6.

Vi anbefaler at du opgraderer dine apache2-pakker.

For detaljeret sikkerhedsstatus vedrørende apache2, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/apache2