Aviso de seguridad de Debian

DSA-4509-1 apache2 -- actualización de seguridad

Fecha del informe:
26 de ago de 2019
Paquetes afectados:
apache2
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2019-9517, CVE-2019-10081, CVE-2019-10082, CVE-2019-10092, CVE-2019-10097, CVE-2019-10098.
Información adicional:

Se han encontrado varias vulnerabilidades en el servidor Apache HTTPD.

  • CVE-2019-9517

    Jonathan Looney informó de que un cliente malicioso podría llevar a cabo un ataque de denegación de servicio (usando todos los trabajadores h2) inundando una conexión con peticiones y, básicamente, no leyendo nunca respuestas en la conexión TCP.

  • CVE-2019-10081

    Craig Young informó de que los PUSH HTTP/2 podían dar lugar a sobreescritura de memoria en el área («pool») de peticiones adelantadas («pushing requests»), provocando caídas.

  • CVE-2019-10082

    Craig Young informó de que se podía hacer que la gestión de sesiones HTTP/2 leyera memoria que había sido liberada previamente, durante el cierre («shutdown») de conexiones.

  • CVE-2019-10092

    Matei Mal Badanoiu informó de una vulnerabilidad limitada de ejecución de scripts entre sitios («limited cross-site scripting») en la página de error de mod_proxy.

  • CVE-2019-10097

    Daniel McCarney informó de que cuando se configuraba mod_remoteip para usar un servidor proxy intermediario de confianza que utilizara el protocolo PROXY, una cabecera PROXY preparada de una manera determinada podía desencadenar un desbordamiento de pila o una desreferencia de puntero NULL. Esta vulnerabilidad solo podía ser desencadenada por un proxy de confianza y no por clientes HTTP no confiables. Este problema no afecta a la distribución stretch.

  • CVE-2019-10098

    Yukitsugu Sasaki informó de una potencial vulnerabilidad de redirección abierta en el módulo mod_rewrite.

Para la distribución «antigua estable» (stretch), estos problemas se han corregido en la versión 2.4.25-3+deb9u8.

Para la distribución «estable» (buster), estos problemas se han corregido en la versión 2.4.38-3+deb10u1.

Le recomendamos que actualice los paquetes de apache2.

Para información detallada sobre el estado de seguridad de apache2, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/apache2