Säkerhetsbulletin från Debian
DSA-4422-1 apache2 -- säkerhetsuppdatering
- Rapporterat den:
- 2019-04-03
- Berörda paket:
- apache2
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 920302, Fel 920303.
I Mitres CVE-förteckning: CVE-2018-17189, CVE-2018-17199, CVE-2019-0196, CVE-2019-0211, CVE-2019-0217, CVE-2019-0220. - Ytterligare information:
-
Flera sårbarheter har upptäckts i HTTP-servern Apache.
- CVE-2018-17189
Gal Goldshtein från F5 Networks upptäckte en överbelastningssårbarhet i mod_http2. Genom att skicka felaktigt formatterade förfrågningar upptar den förfrågans http/2-ström onödvändigt en servertråd och rensar upp inkommnade data, vilket resulterar i överbelastning.
- CVE-2018-17199
Diego Angulo från ImExHS upptäckte att mod_session_cookie inte respekterar utgångstid.
- CVE-2019-0196
Craig Young upptäckte att http/2-förfrågehanteringen i mod_http2 kunde göras att den får åtkomst till friat minne i stringjämförelser när den avgör en förfrågans metod och därmed behandlar förfrågan felaktigt.
- CVE-2019-0211
Charles Fol upptäckte en utökning av privilegier från ickepriviligierade barnprocesser till föräldraprocessen som kör som root.
- CVE-2019-0217
En kapplöpningseffek i mod_auth_digest vid körning i en trådad server kunde tillåta en användare med giltiga legitimationsuppgifter att autentisera med ett annat användarnamn, och därmed förbigå konfigurerade åtkomstkontrollsrestriktioner. Problemet upptäcktes av Simon Kappel.
- CVE-2019-0220
Bernhard Lorenz från Alpha Strike Labs GmbH rapporterade att URL-normaliseringar hanterades inkonsekvent. När sökvägskomponenten i en förfråge-URL innehåller flera på varandra följande snedstreck ('/'), måste direktiv som LocationMatch och RewriteRule stå för dubbletter i reguljära uttryck medan andra aspekter av de behandlande servrarna kommer att kollapsa dem implicit.
För den stabila utgåvan (Stretch) har dessa problem rättats i version 2.4.25-3+deb9u7.
Denna uppdatering innehåller även felrättningar som var schemalagda för inkludering i nästa stabila punktutgåva. Detta inkluderar en rättning för en regression som orsakades av en säkerhetsrättning i 2.4.25-3+deb9u6.
Vi rekommenderar att ni uppgraderar era apache2-paket.
För detaljerad säkerhetsstatus om apache2 vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/apache2
- CVE-2018-17189