Debians sikkerhedsbulletin

DSA-4509-1 apache2 -- sikkerhedsopdatering

Rapporteret den:

26. aug 2019

Berørte pakker:

apache2

Sårbar:

Referencer i sikkerhedsdatabaser:

Yderligere oplysninger:

Flere sårbarheder er fundet i Apache HTTPD-serveren.

CVE-2019-9517
Jonathan Looney rapporterede at en ondsindet klient kunne iværksætte lammelsesangreb (udmattelse af h2-workers) ved at oversvømme en forbindelse med forespørgsler, og ikke læse svar på TCP-forbindelsen.
CVE-2019-10081
Craig Young rapporterede at HTTP/2-PUSH kunne føre til en overskrivning af hukommelse i den push'ende forespørgsels pool, førende til nedbrud.
CVE-2019-10082
Craig Young rapporterede at man kunne få HTTP/2-sessionhåndteringen kunne til at læse hukommelse efter den var frigivet, under nedlukning af en forbindelse.
CVE-2019-10092
Matei Mal Badanoiu rapporterede om en begrænset sårbarhed i forbindelse med udførelse af skripter på tværs af websteder på mod_proxys fejlside.
CVE-2019-10097
Daniel McCarney rapporterede at når mod_remoteip var opsat til at anvende en mellemliggende proxyserver, som der er tillid til, ved hjælp af PROXY-protokollen, kunne en særligt fremstillet PROXY-header udløse et stakbrugeroverløb eller en NULL-pointerdeference. Sårbarheden kunne kun udløses af en proxy, man har tillid til, og ikke af HTTP-klienter, men ikke har tillid til. Problemet påvirker ikke stretch-udgaven.
CVE-2019-10098
Yukitsugu Sasaki rapporterede om en potentiel åben viderestilling-sårbarhed i modulet mod_rewrite.

I den gamle stabile distribution (stretch), er disse problemer rettet i version 2.4.25-3+deb9u8.

I den stabile distribution (buster), er disse problemer rettet i version 2.4.38-3+deb10u1.

Vi anbefaler at du opgraderer dine apache2-pakker.

For detaljeret sikkerhedsstatus vedrørende apache2, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/apache2