Debians sikkerhedsbulletin

DSA-4509-1 apache2 -- sikkerhedsopdatering

Rapporteret den:
26. aug 2019
Berørte pakker:
apache2
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2019-9517, CVE-2019-10081, CVE-2019-10082, CVE-2019-10092, CVE-2019-10097, CVE-2019-10098.
Yderligere oplysninger:

Flere sårbarheder er fundet i Apache HTTPD-serveren.

  • CVE-2019-9517

    Jonathan Looney rapporterede at en ondsindet klient kunne iværksætte lammelsesangreb (udmattelse af h2-workers) ved at oversvømme en forbindelse med forespørgsler, og ikke læse svar på TCP-forbindelsen.

  • CVE-2019-10081

    Craig Young rapporterede at HTTP/2-PUSH kunne føre til en overskrivning af hukommelse i den push'ende forespørgsels pool, førende til nedbrud.

  • CVE-2019-10082

    Craig Young rapporterede at man kunne få HTTP/2-sessionhåndteringen kunne til at læse hukommelse efter den var frigivet, under nedlukning af en forbindelse.

  • CVE-2019-10092

    Matei Mal Badanoiu rapporterede om en begrænset sårbarhed i forbindelse med udførelse af skripter på tværs af websteder på mod_proxys fejlside.

  • CVE-2019-10097

    Daniel McCarney rapporterede at når mod_remoteip var opsat til at anvende en mellemliggende proxyserver, som der er tillid til, ved hjælp af PROXY-protokollen, kunne en særligt fremstillet PROXY-header udløse et stakbrugeroverløb eller en NULL-pointerdeference. Sårbarheden kunne kun udløses af en proxy, man har tillid til, og ikke af HTTP-klienter, men ikke har tillid til. Problemet påvirker ikke stretch-udgaven.

  • CVE-2019-10098

    Yukitsugu Sasaki rapporterede om en potentiel åben viderestilling-sårbarhed i modulet mod_rewrite.

I den gamle stabile distribution (stretch), er disse problemer rettet i version 2.4.25-3+deb9u8.

I den stabile distribution (buster), er disse problemer rettet i version 2.4.38-3+deb10u1.

Vi anbefaler at du opgraderer dine apache2-pakker.

For detaljeret sikkerhedsstatus vedrørende apache2, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/apache2