Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:N/A:N)
Производитель ПО
Наименование ПО
Описание
Apache HTTP Server - это популярный веб-сервер.
Уязвимость обнаружена в модуле mod_proxy сервера Apache HTTP Server при обработке таймаута запросов, полученных от reverse proxy на сервер back-end. Если proxy настроен на повторное использование подключений back-end, то он может в некоторых условиях вернуть ответ, который предназначался другому пользователю, что может привести к разглашению данных. (CVE-2010-2791)
Уязвимость обнаружена в модуле mod_dav в Apache HTTP Server при обработке некоторых запросов. Если злоумышленник, действующий удаленно, отправит серверу специально сформированный запрос, то он может вызвать аварийное завершение дочернего процесса httpd. (CVE-2010-1452)
Данное обновление также исправляет следующие ошибки:
* ошибки в фильтре INFLATE в mod_deflate. Ошибки "Inflate error -5 on flush" могли вноситься в журнал. Данное обновление содержит новую версию mod_deflate из Apache HTTP Server 2.2.15. (BZ#625435)
* ответное сообщение может быть повреждено, если mod_filter использует фильтр DEFLATE для ресурсов, которые требуют выполнения подзапроса с внутренним перенаправлением. (BZ#625451)
* функция OID(), используемая в mod_ssl в директиве "SSLRequire", некорректно обрабатывала расширения некоторого типа. (BZ#625452)
Всем пользователям httpd рекомендуется обновить программное обеспечение, чтобы решить указанные проблемы. После установки пакетов обновлений необходимо перезапустить демон httpd, чтобы изменения вступили в силу.
Уязвимость обнаружена в модуле mod_proxy сервера Apache HTTP Server при обработке таймаута запросов, полученных от reverse proxy на сервер back-end. Если proxy настроен на повторное использование подключений back-end, то он может в некоторых условиях вернуть ответ, который предназначался другому пользователю, что может привести к разглашению данных. (CVE-2010-2791)
Уязвимость обнаружена в модуле mod_dav в Apache HTTP Server при обработке некоторых запросов. Если злоумышленник, действующий удаленно, отправит серверу специально сформированный запрос, то он может вызвать аварийное завершение дочернего процесса httpd. (CVE-2010-1452)
Данное обновление также исправляет следующие ошибки:
* ошибки в фильтре INFLATE в mod_deflate. Ошибки "Inflate error -5 on flush" могли вноситься в журнал. Данное обновление содержит новую версию mod_deflate из Apache HTTP Server 2.2.15. (BZ#625435)
* ответное сообщение может быть повреждено, если mod_filter использует фильтр DEFLATE для ресурсов, которые требуют выполнения подзапроса с внутренним перенаправлением. (BZ#625451)
* функция OID(), используемая в mod_ssl в директиве "SSLRequire", некорректно обрабатывала расширения некоторого типа. (BZ#625452)
Всем пользователям httpd рекомендуется обновить программное обеспечение, чтобы решить указанные проблемы. После установки пакетов обновлений необходимо перезапустить демон httpd, чтобы изменения вступили в силу.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2010-0659.html
https://rhn.redhat.com/errata/RHSA-2010-0659.html
Ссылки
https://rhn.redhat.com/errata/RHSA-2010-0659.html
CVE (CVE-2010-1452): https://www.redhat.com/security/data/cve/CVE-2010-1452.html
CVE (CVE-2010-2791): https://www.redhat.com/security/data/cve/CVE-2010-2791.html
BUGZILLA (617523): http://bugzilla.redhat.com/617523
BUGZILLA (618189): http://bugzilla.redhat.com/618189
BUGZILLA (625435): http://bugzilla.redhat.com/625435
BUGZILLA (625451): http://bugzilla.redhat.com/625451
BUGZILLA (625452): http://bugzilla.redhat.com/625452
Источник: CVE
Наименование: CVE-2010-1452
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1452
Источник: CVE
Наименование: CVE-2010-2791
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2791
CVE (CVE-2010-1452): https://www.redhat.com/security/data/cve/CVE-2010-1452.html
CVE (CVE-2010-2791): https://www.redhat.com/security/data/cve/CVE-2010-2791.html
BUGZILLA (617523): http://bugzilla.redhat.com/617523
BUGZILLA (618189): http://bugzilla.redhat.com/618189
BUGZILLA (625435): http://bugzilla.redhat.com/625435
BUGZILLA (625451): http://bugzilla.redhat.com/625451
BUGZILLA (625452): http://bugzilla.redhat.com/625452
Источник: CVE
Наименование: CVE-2010-1452
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1452
Источник: CVE
Наименование: CVE-2010-2791
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2791