Säkerhetsbulletin från Debian

DSA-4509-1 apache2 -- säkerhetsuppdatering

Rapporterat den:
2019-08-26
Berörda paket:
apache2
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2019-9517, CVE-2019-10081, CVE-2019-10082, CVE-2019-10092, CVE-2019-10097, CVE-2019-10098.
Ytterligare information:

Flera sårbarheter har upptäckts i Apache HTTPD-servern.

  • CVE-2019-9517

    Jonathan Looney rapporterade att en illasinnad klient kunde utföra ett överbelastningsangrepp (förbruka h2-arbetare) genom att överbelasta en anslutning med förfrågningar och helt enkelt aldrig läsa svar på TCP-anslutningen.

  • CVE-2019-10081

    Craig Young rapporterade att HTTP/2-PUSHes kunde leda till överskrivning av minne i den pushande förfrågarens pool, vilket leder till krascher.

  • CVE-2019-10082

    Craig Young rapporterade att HTTP/2-sessionshanteringen kunde göras att läsa minne som frigjorts, under avslutande av anslutning.

  • CVE-2019-10092

    Matei Mal Badanoiu rapporterade en begränsade sajtöverskridande skriptsårbarhet i felsidan för mod_proxy.

  • CVE-2019-10097

    Daniel McCarney rapporterade att när mod_remoteip var konfigurerad att använda en pålitlig intermediär proxyserver som använder protokollet PROXY, kunde en speciellt skapad PROXY-rubrik trigga ett stackbuffertspill eller NULL-pekardereferens. Denna sårbarhet kunde endast triggas genom en betrodd proxy och inte genom icke betrodda HTTP-klienter. Problemet påverkar inte utgåvan Stretch.

  • CVE-2019-10098

    Yukitsugu Sasaki rapporterade en potentiellt öppen omdirigeringssårbarhet i modulen mod_rewrite.

För den gamla stabila utgåvan (Stretch) har dessa problem rättats i version 2.4.25-3+deb9u8.

För den stabila utgåvan (Buster) har dessa problem rättats i version 2.4.38-3+deb10u1.

Vi rekommenderar att ni uppgraderar era apache2-paket.

För detaljerad säkerhetsstatus om apache2 vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/apache2