Рекомендация Debian по безопасности

DSA-4422-1 apache2 -- обновление безопасности

Дата сообщения:
03.04.2019
Затронутые пакеты:
apache2
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 920302, Ошибка 920303.
В каталоге Mitre CVE: CVE-2018-17189, CVE-2018-17199, CVE-2019-0196, CVE-2019-0211, CVE-2019-0217, CVE-2019-0220.
Более подробная информация:

В HTTP-сервере Apache было обнаружено несколько уязвимостей.

  • CVE-2018-17189

    Галь Голдштейн из F5 Networks обнаружил отказ в обслуживании в mod_http2. При отправке специально сформированных запросов поток http/2 для такого запроса нецелесообразно занимает серверный поток очистки входящих данных, что приводит к отказу в обслуживании.

  • CVE-2018-17199

    Диего Ангуло из ImExHS обнаружил, что mod_session_cookie не учитывает время жизни сессии.

  • CVE-2019-0196

    Крэйг Янг обнаружил, что обработка запроса http/2 в mod_http2 может получить доступ к освобождённой памяти в коде сравнения строк при определении метода запроса, что приводит к неправильной обработке запроса.

  • CVE-2019-0211

    Чарльз Фол обнаружил повышение привилегий из менее привилегированного дочернего процесса до уровня родительского процесса, запущенного от лица суперпользователя.

  • CVE-2019-0217

    Состояние гонки в mod_auth_digest при запуске в режиме серверной обработки каждого запроса в новом потоке может позволить пользователю с корректными данными учётной записи аутентифицироваться с использованием другого имени пользователя, обходя тем самым настроенные ограничения управления доступом. Проблема была обнаружена Саймоном Каппелем.

  • CVE-2019-0220

    Бернхард Лоренц из Alpha Strike Labs GmbH сообщил, что нормализации URL обрабатываются непоследовательно. В случае, если путь в запрошенном URL содержит несколько последовательных косых черт ('/'), то такие директивы как LocationMatch и RewriteRule должны учитывать дубликаты в регулярных выражениях, хотя другие аспекты серверной обработки неявным образом их сворачивают.

В стабильном выпуске (stretch) эти проблемы были исправлены в version 2.4.25-3+deb9u7.

Данное обновление содержит исправления ошибок, которые планировалось включить в следующую редакцию стабильного выпуска. Среди них имеется исправление регрессии, вызванной исправлением безопасности в версии 2.4.25-3+deb9u6.

Рекомендуется обновить пакеты apache2.

С подробным статусом поддержки безопасности apache2 можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/apache2