Bulletin d'alerte Debian

DSA-4757-1 apache2 -- Mise à jour de sécurité

Date du rapport :
31 août 2020
Paquets concernés :
apache2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-1927, CVE-2020-1934, CVE-2020-9490, CVE-2020-11984, CVE-2020-11993.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le serveur web HTTPD Apache.

  • CVE-2020-1927

    Fabrice Perez a signalé que certaines configurations de mod_rewrite sont prédisposées à une redirection ouverte.

  • CVE-2020-1934

    Chamal De Silva a découvert que le module mod_proxy_ftp utilise de la mémoire non initialisée lorsqu'il sert de mandataire pour un dorsal FTP malveillant.

  • CVE-2020-9490

    Felix Wilhelm a découvert qu'une valeur de l'en-tête 'Cache-Digest', contrefaite pour l'occasion, dans une requête HTTP/2 pourrait provoquer un plantage quand le serveur essaye ensuite de réaliser effectivement un « HTTP/2 PUSH » d'une ressource.

  • CVE-2020-11984

    Felix Wilhelm a signalé un défaut de dépassement de tampon dans le module mod_proxy_uwsgi qui pourrait avoir pour conséquence la divulgation d'informations ou éventuellement l'exécution de code à distance.

  • CVE-2020-11993

    Felix Wilhelm a signalé que, quand trace ou debug sont activés pour le module HTTP/2, certains patrons de trafic périphérique peuvent provoquer l'enregistrement d'instructions sur la mauvaise connexion, causant l'utilisation simultanée de zones de mémoires.

Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 2.4.38-3+deb10u4.

Nous vous recommandons de mettre à jour vos paquets apache2.

Pour disposer d'un état détaillé sur la sécurité de apache2, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/apache2.