데비안 보안 권고

DSA-4757-1 apache2 -- 보안 업데이트

보고일:
2020년 08월 31일
영향 받는 패키지:
apache2
위험성:
보안 데이터베이스 참조:
Mitre의 CVE 사전: CVE-2020-1927, CVE-2020-1934, CVE-2020-9490, CVE-2020-11984, CVE-2020-11993.
추가 정보:

여러 취약점을 Apache HTTPD 서버에서 발견했습니다.

  • CVE-2020-1927

    Fabrice Perez는 어떤 mod_rewrite 설정이 개방형 리디렉트에 취약하다고 보고했습니다.

  • CVE-2020-1934

    Chamal De Silva는 mod_proxy_ftp 모듈이 악성 FTP 백엔드로 프록시할 때 초기화되지 않은 메모리를 사용함을 발견했습니다.

  • CVE-2020-9490

    Felix Wilhelm은 HTTP/2 요청의 'Cache-Digest'헤더에 대해 특별히 제작된 값이 서버가 나중에 실제로 HTTP/2 PUSH를 시도 할 때 충돌을 일으킬 수 있음을 발견했습니다.

  • CVE-2020-11984

    Felix Wilhelm은 mod_proxy_uwsgi 모듈의 버퍼 오버 플로우 결함을 보고하였으며 이는 정보 공개 또는 잠재적으로 원격 코드 실행을 초래할 수 있습니다.

  • CVE-2020-11993

    Felix Wilhelm HTTP/2 모듈에 대해 추적/디버그가 활성화되었을 때 특정 트래픽 에지 패턴으로 인해 잘못된 연결에 대한 로깅 명령이 발생하여 메모리 풀을 동시에 사용할 수 있다고 보고했습니다.

안정 배포(buster)에서, 이 문제를 버전 2.4.38-3+deb10u4에서 고쳤습니다.

apache2 패키지를 업그레이드 하는 것이 좋습니다.

apache2의 자세한 보안 상태는 보안 추적 페이지 참조: https://security-tracker.debian.org/tracker/apache2