Säkerhetsinformation / 2019 / Säkerhetsinformation -- DSA-4422-1 apache2

Säkerhetsbulletin från Debian

DSA-4422-1 apache2 -- säkerhetsuppdatering

Rapporterat den:

2019-04-03

Berörda paket:

apache2

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 920302, Fel 920303.
I Mitres CVE-förteckning: CVE-2018-17189, CVE-2018-17199, CVE-2019-0196, CVE-2019-0211, CVE-2019-0217, CVE-2019-0220.

Ytterligare information:

Flera sårbarheter har upptäckts i HTTP-servern Apache.

• CVE-2018-17189

  Gal Goldshtein från F5 Networks upptäckte en överbelastningssårbarhet i mod_http2. Genom att skicka felaktigt formatterade förfrågningar upptar den förfrågans http/2-ström onödvändigt en servertråd och rensar upp inkommnade data, vilket resulterar i överbelastning.

• CVE-2018-17199

  Diego Angulo från ImExHS upptäckte att mod_session_cookie inte respekterar utgångstid.

• CVE-2019-0196

  Craig Young upptäckte att http/2-förfrågehanteringen i mod_http2 kunde göras att den får åtkomst till friat minne i stringjämförelser när den avgör en förfrågans metod och därmed behandlar förfrågan felaktigt.

• CVE-2019-0211

  Charles Fol upptäckte en utökning av privilegier från ickepriviligierade barnprocesser till föräldraprocessen som kör som root.

• CVE-2019-0217

  En kapplöpningseffek i mod_auth_digest vid körning i en trådad server kunde tillåta en användare med giltiga legitimationsuppgifter att autentisera med ett annat användarnamn, och därmed förbigå konfigurerade åtkomstkontrollsrestriktioner. Problemet upptäcktes av Simon Kappel.

• CVE-2019-0220

  Bernhard Lorenz från Alpha Strike Labs GmbH rapporterade att URL-normaliseringar hanterades inkonsekvent. När sökvägskomponenten i en förfråge-URL innehåller flera på varandra följande snedstreck ('/'), måste direktiv som LocationMatch och RewriteRule stå för dubbletter i reguljära uttryck medan andra aspekter av de behandlande servrarna kommer att kollapsa dem implicit.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 2.4.25-3+deb9u7.

Denna uppdatering innehåller även felrättningar som var schemalagda för inkludering i nästa stabila punktutgåva. Detta inkluderar en rättning för en regression som orsakades av en säkerhetsrättning i 2.4.25-3+deb9u6.

Vi rekommenderar att ni uppgraderar era apache2-paket.

För detaljerad säkerhetsstatus om apache2 vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/apache2