Рекомендация Debian по безопасности

DSA-4757-1 apache2 -- обновление безопасности

Дата сообщения:
31.08.2020
Затронутые пакеты:
apache2
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2020-1927, CVE-2020-1934, CVE-2020-9490, CVE-2020-11984, CVE-2020-11993.
Более подробная информация:

В HTTPD-сервере Apache было обнаружено несколько уязвимостей.

  • CVE-2020-1927

    Фабрис Перез сообщил, что некоторые конфигурации mod_rewrite уязвимы к открытому перенаправлению.

  • CVE-2020-1934

    Шамаль де Сильва обнаружил, что модуль mod_proxy_ftp использует неинициализированную память при запуске прокси к вредоносному FTP-движку.

  • CVE-2020-9490

    Феликс Вильгельм обнаружил, что специально сформированное значение для заголовка 'Cache-Digest' в запросе HTTP/2 может вызывать аварийную остановку, если после этого сервер действительно пытается выполнить HTTP/2 PUSH ресурса.

  • CVE-2020-11984

    Феликс Вильгельм сообщил о переполнении буфера в модуле mod_proxy_uwsgi, которое может приводить к раскрытию информации или удалённому выполнению кода.

  • CVE-2020-11993

    Феликс Вильгельм сообщил, что при включении трассировки/отладки для модуля HTTP/2 некоторые виды трафика могут вызывать запись журнала на неправильны соединениях, что приводит к параллельному использованию пулов памяти.

В стабильном выпуске (buster) эти проблемы были исправлены в версии 2.4.38-3+deb10u4.

Рекомендуется обновить пакеты apache2.

С подробным статусом поддержки безопасности apache2 можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/apache2