Рекомендация Debian по безопасности

DSA-4509-1 apache2 -- обновление безопасности

Дата сообщения:
26.08.2019
Затронутые пакеты:
apache2
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2019-9517, CVE-2019-10081, CVE-2019-10082, CVE-2019-10092, CVE-2019-10097, CVE-2019-10098.
Более подробная информация:

В HTTPD-сервере Apache было обнаружено несколько уязвимостей.

  • CVE-2019-9517

    Джонатан Луни сообщил, что злоумышленник может вызвать отказ в обслуживании (исчерпание ресурсов исполняемых модулей h2) путём заполнения соединения запросами без чтения ответов по TCP-соединению.

  • CVE-2019-10081

    Крейг Янг сообщил, что HTTP/2 PUSH может приводить к перезаписи содержимого памяти в пуле отправляемого запроса, что вызывает аварийную остановку.

  • CVE-2019-10082

    Крейг Янг сообщил, что обработка сессии HTTP/2 может вызывать чтение памяти после её освобождения в ходе завершения соединения.

  • CVE-2019-10092

    Матеи Mal Бадану сообщил об ограниченном межсайтовом скриптинге на странице ошибки mod_proxy.

  • CVE-2019-10097

    Дэниель Маккарни сообщил, что когда mod_remoteip настроен на использование доверенного промежуточного прокси, использующего протокол PROXY, то специально сформированный заголовок PROXY может вызвать переполнение буфера или разыменование NULL-указателя. Эта уязвимость может использоваться только доверенным прокси, но не может использоваться недоверенными HTTP-клиентами. Проблема не касается выпуска stretch.

  • CVE-2019-10098

    Юкитсугу Сасаки сообщил о потенциальном открытом перенаправлении в модуле mod_rewrite.

В предыдущем стабильном выпуске (stretch) эти проблемы были исправлены в версии 2.4.25-3+deb9u8.

В стабильном выпуске (buster) эти проблемы были исправлены в версии 2.4.38-3+deb10u1.

Рекомендуется обновить пакеты apache2.

С подробным статусом поддержки безопасности apache2 можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/apache2