Debians sikkerhedsbulletin
DSA-4509-1 apache2 -- sikkerhedsopdatering
- Rapporteret den:
- 26. aug 2019
- Berørte pakker:
- apache2
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2019-9517, CVE-2019-10081, CVE-2019-10082, CVE-2019-10092, CVE-2019-10097, CVE-2019-10098.
- Yderligere oplysninger:
-
Flere sårbarheder er fundet i Apache HTTPD-serveren.
- CVE-2019-9517
Jonathan Looney rapporterede at en ondsindet klient kunne iværksætte lammelsesangreb (udmattelse af h2-workers) ved at oversvømme en forbindelse med forespørgsler, og ikke læse svar på TCP-forbindelsen.
- CVE-2019-10081
Craig Young rapporterede at HTTP/2-PUSH kunne føre til en overskrivning af hukommelse i den push'ende forespørgsels pool, førende til nedbrud.
- CVE-2019-10082
Craig Young rapporterede at man kunne få HTTP/2-sessionhåndteringen kunne til at læse hukommelse efter den var frigivet, under nedlukning af en forbindelse.
- CVE-2019-10092
Matei
Mal
Badanoiu rapporterede om en begrænset sårbarhed i forbindelse med udførelse af skripter på tværs af websteder på mod_proxys fejlside. - CVE-2019-10097
Daniel McCarney rapporterede at når mod_remoteip var opsat til at anvende en mellemliggende proxyserver, som der er tillid til, ved hjælp af
PROXY
-protokollen, kunne en særligt fremstillet PROXY-header udløse et stakbrugeroverløb eller en NULL-pointerdeference. Sårbarheden kunne kun udløses af en proxy, man har tillid til, og ikke af HTTP-klienter, men ikke har tillid til. Problemet påvirker ikke stretch-udgaven. - CVE-2019-10098
Yukitsugu Sasaki rapporterede om en potentiel åben viderestilling-sårbarhed i modulet mod_rewrite.
I den gamle stabile distribution (stretch), er disse problemer rettet i version 2.4.25-3+deb9u8.
I den stabile distribution (buster), er disse problemer rettet i version 2.4.38-3+deb10u1.
Vi anbefaler at du opgraderer dine apache2-pakker.
For detaljeret sikkerhedsstatus vedrørende apache2, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/apache2
- CVE-2019-9517