Debians sikkerhedsbulletin

DSA-4757-1 apache2 -- sikkerhedsopdatering

Rapporteret den:
31. aug 2020
Berørte pakker:
apache2
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2020-1927, CVE-2020-1934, CVE-2020-9490, CVE-2020-11984, CVE-2020-11993.
Yderligere oplysninger:

Flere sårbarheder er fundet i HTTPD-serveren Apache.

  • CVE-2020-1927

    Fabrice Perez rapporterede at visse mod_rewrite-opsætninger var sårbare over for en åben viderestilling.

  • CVE-2020-1934

    Chamal De Silva opdagede at modulet mod_proxy_ftp anvendte uinitialiseret hukommelse, når det var en proxy for en ondsindet FTP-backend.

  • CVE-2020-9490

    Felix Wilhelm opdagede at en særligt fremstillet værdi for headeren Cache-Digest i en HTTP/2-forespørgsel, kunne forårsage et nedbrud når serveren efterfølgende faktisk prøvede at HTTP/2-PUSH'e en ressource.

  • CVE-2020-11984

    Felix Wilhelm rapporterede om en bufferoverløbsfejl i modulet mod_proxy_uwsgi, hvilken kunne medføre informationsafsløring eller potentielt fjernudførelse af kode.

  • CVE-2020-11993

    Felix Wilhelm rapporterede at når trace/debug var aktiveret for HTTP/2-modulet, kunne visse traffic edge-mønstre forårsage logningsstatements i den forkerte forbindelse, medførende samtidig anvendelse af hukommelsespools.

I den stabile distribution (buster), er disse problemer rettet i version 2.4.38-3+deb10u4.

Vi anbefaler at du opgraderer dine apache2-pakker.

For detaljeret sikkerhedsstatus vedrørende apache2, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/apache2