Säkerhetsbulletin från Debian

DSA-4422-1 apache2 -- säkerhetsuppdatering

Rapporterat den:
2019-04-03
Berörda paket:
apache2
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 920302, Fel 920303.
I Mitres CVE-förteckning: CVE-2018-17189, CVE-2018-17199, CVE-2019-0196, CVE-2019-0211, CVE-2019-0217, CVE-2019-0220.
Ytterligare information:

Flera sårbarheter har upptäckts i HTTP-servern Apache.

  • CVE-2018-17189

    Gal Goldshtein från F5 Networks upptäckte en överbelastningssårbarhet i mod_http2. Genom att skicka felaktigt formatterade förfrågningar upptar den förfrågans http/2-ström onödvändigt en servertråd och rensar upp inkommnade data, vilket resulterar i överbelastning.

  • CVE-2018-17199

    Diego Angulo från ImExHS upptäckte att mod_session_cookie inte respekterar utgångstid.

  • CVE-2019-0196

    Craig Young upptäckte att http/2-förfrågehanteringen i mod_http2 kunde göras att den får åtkomst till friat minne i stringjämförelser när den avgör en förfrågans metod och därmed behandlar förfrågan felaktigt.

  • CVE-2019-0211

    Charles Fol upptäckte en utökning av privilegier från ickepriviligierade barnprocesser till föräldraprocessen som kör som root.

  • CVE-2019-0217

    En kapplöpningseffek i mod_auth_digest vid körning i en trådad server kunde tillåta en användare med giltiga legitimationsuppgifter att autentisera med ett annat användarnamn, och därmed förbigå konfigurerade åtkomstkontrollsrestriktioner. Problemet upptäcktes av Simon Kappel.

  • CVE-2019-0220

    Bernhard Lorenz från Alpha Strike Labs GmbH rapporterade att URL-normaliseringar hanterades inkonsekvent. När sökvägskomponenten i en förfråge-URL innehåller flera på varandra följande snedstreck ('/'), måste direktiv som LocationMatch och RewriteRule stå för dubbletter i reguljära uttryck medan andra aspekter av de behandlande servrarna kommer att kollapsa dem implicit.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 2.4.25-3+deb9u7.

Denna uppdatering innehåller även felrättningar som var schemalagda för inkludering i nästa stabila punktutgåva. Detta inkluderar en rättning för en regression som orsakades av en säkerhetsrättning i 2.4.25-3+deb9u6.

Vi rekommenderar att ni uppgraderar era apache2-paket.

För detaljerad säkerhetsstatus om apache2 vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/apache2