Informations de sécurité / 2019 / Informations sur la sécurité -- DSA-4509-1 apache2

Bulletin d'alerte Debian

DSA-4509-1 apache2 -- Mise à jour de sécurité

Date du rapport :

26 août 2019

Paquets concernés :

apache2

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2019-9517, CVE-2019-10081, CVE-2019-10082, CVE-2019-10092, CVE-2019-10097, CVE-2019-10098.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le serveur web HTTPD Apache.

• CVE-2019-9517

  Jonathan Looney a signalé qu'un client malveillant pourrait réaliser une attaque par déni de service (épuisement des « workers » h2) en inondant une connexion de requêtes et, essentiellement, en ne lisant jamais les réponses sur la connexion TCP.

• CVE-2019-10081

  Craig Young a signalé que les fonctions PUSH HTTP/2 pourraient conduire à un écrasement de mémoire dans la réserve de requêtes d'envois, menant à des plantages.

• CVE-2019-10082

  Craig Young a signalé que le traitement de session HTTP/2 pourrait être conçu pour lire la mémoire après libération lors de la fermeture de la connexion.

• CVE-2019-10092

  Matei Mal Badanoiu a signalé une vulnérabilité limitée de script intersite dans la page d'erreur de mod_proxy.

• CVE-2019-10097

  Daniel McCarney a signalé que lorsque mod_remoteip était configuré pour utiliser un serveur mandataire intermédiaire de confiance utilisant le protocole PROXY, un en-tête PROXY contrefait pour l'occasion pourrait déclencher un dépassement de tampon de pile ou un déréférencement de pointeur NULL. Cette vulnérabilité pourrait être seulement déclenchée par un mandataire de confiance et non par des clients HTTP non fiables. Ce problème n'affecte pas la version présente dans Stretch.

• CVE-2019-10098

  Yukitsugu Sasaki a signalé une possible vulnérabilité de redirection d'ouverture dans le module mod_rewrite.

Pour la distribution oldstable (Stretch), ces problèmes ont été corrigés dans la version 2.4.25-3+deb9u8.

Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 2.4.38-3+deb10u1.

Nous vous recommandons de mettre à jour vos paquets apache2.

Pour disposer d'un état détaillé sur la sécurité de apache2, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/apache2.