Aviso de seguridad de Debian

DSA-4757-1 apache2 -- actualización de seguridad

Fecha del informe:
31 de ago de 2020
Paquetes afectados:
apache2
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2020-1927, CVE-2020-1934, CVE-2020-9490, CVE-2020-11984, CVE-2020-11993.
Información adicional:

Se han encontrado varias vulnerabilidades en el servidor Apache HTTPD.

  • CVE-2020-1927

    Fabrice Perez informó de que ciertas configuraciones de mod_rewrite tienen propensión a una redirección abierta.

  • CVE-2020-1934

    Chamal De Silva descubrió que el módulo mod_proxy_ftp usa memoria no inicializada al actuar como proxy hacia un backend FTP malicioso.

  • CVE-2020-9490

    Felix Wilhelm descubrió que un valor de la cabecera 'Cache-Digest' preparado de una manera determinada en una petición HTTP/2 podría provocar una caída en el momento en el que, posteriormente, el servidor intente hacer un PUSH HTTP/2 de un recurso.

  • CVE-2020-11984

    Felix Wilhelm informó de un fallo de desbordamiento de memoria en el módulo mod_proxy_uwsgi que podría dar lugar a revelación de información o, potencialmente, a ejecución de código remoto.

  • CVE-2020-11993

    Felix Wilhelm informó de que, cuando estaban habilitados el rastreo («trace») o la depuración para el módulo HTTP/2, ciertos patrones de tráfico periférico podían provocar el registro («logging») de sentencias en la conexión equivocada, dando lugar a un uso concurrente de áreas de memoria («memory pools»).

Para la distribución «estable» (buster), estos problemas se han corregido en la versión 2.4.38-3+deb10u4.

Le recomendamos que actualice los paquetes de apache2.

Para información detallada sobre el estado de seguridad de apache2, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/apache2