Рекомендация Debian по безопасности
DSA-4509-1 apache2 -- обновление безопасности
- Дата сообщения:
- 26.08.2019
- Затронутые пакеты:
- apache2
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2019-9517, CVE-2019-10081, CVE-2019-10082, CVE-2019-10092, CVE-2019-10097, CVE-2019-10098.
- Более подробная информация:
-
В HTTPD-сервере Apache было обнаружено несколько уязвимостей.
- CVE-2019-9517
Джонатан Луни сообщил, что злоумышленник может вызвать отказ в обслуживании (исчерпание ресурсов исполняемых модулей h2) путём заполнения соединения запросами без чтения ответов по TCP-соединению.
- CVE-2019-10081
Крейг Янг сообщил, что HTTP/2 PUSH может приводить к перезаписи содержимого памяти в пуле отправляемого запроса, что вызывает аварийную остановку.
- CVE-2019-10082
Крейг Янг сообщил, что обработка сессии HTTP/2 может вызывать чтение памяти после её освобождения в ходе завершения соединения.
- CVE-2019-10092
Матеи
Mal
Бадану сообщил об ограниченном межсайтовом скриптинге на странице ошибки mod_proxy. - CVE-2019-10097
Дэниель Маккарни сообщил, что когда mod_remoteip настроен на использование доверенного промежуточного прокси, использующего протокол
PROXY
, то специально сформированный заголовок PROXY может вызвать переполнение буфера или разыменование NULL-указателя. Эта уязвимость может использоваться только доверенным прокси, но не может использоваться недоверенными HTTP-клиентами. Проблема не касается выпуска stretch. - CVE-2019-10098
Юкитсугу Сасаки сообщил о потенциальном открытом перенаправлении в модуле mod_rewrite.
В предыдущем стабильном выпуске (stretch) эти проблемы были исправлены в версии 2.4.25-3+deb9u8.
В стабильном выпуске (buster) эти проблемы были исправлены в версии 2.4.38-3+deb10u1.
Рекомендуется обновить пакеты apache2.
С подробным статусом поддержки безопасности apache2 можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/apache2
- CVE-2019-9517