Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:L/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
apache2
(any)
Описание
В сервере Apache HTTPD были обнаружены несколько уязвимостей.
CVE-2012-3499
Модули modules mod_info, mod_status, mod_imagemap, mod_ldap и
mod_proxy_ftp неправильно экранируют имена узлов и URI в
выводе HTML, что приводит к появлению проблем с межсайтовым скриптингом.
CVE-2012-4558
Mod_proxy_balancer неправильно экранируют имена узлов и URI
в интерфейсе balancer-manager, что приводит к проблемам с межсайтовым
скриптингом.
CVE-2013-1048
Гайавард Виджаякумар обнаружил, что сценарий apache2ctl создаёт
защищённый каталог небезопасным способом, позволяя локальному атакующему
добиться повышения привилегий через атаку по символической ссылке. Эта проблема
специально касается Debian.
В стабильном выпуске (squeeze) эти проблема были исправлены в
версии 2.2.16-6+squeeze11.
В тестируемом выпуске (wheezy) эти проблемы будут исправлены в
версии 2.2.22-13.
В нестабильном выпуске (sid) эти проблемы будут исправлены в
версии 2.2.22-13.
Рекомендуется обновить пакеты apache2.
CVE-2012-3499
Модули modules mod_info, mod_status, mod_imagemap, mod_ldap и
mod_proxy_ftp неправильно экранируют имена узлов и URI в
выводе HTML, что приводит к появлению проблем с межсайтовым скриптингом.
CVE-2012-4558
Mod_proxy_balancer неправильно экранируют имена узлов и URI
в интерфейсе balancer-manager, что приводит к проблемам с межсайтовым
скриптингом.
CVE-2013-1048
Гайавард Виджаякумар обнаружил, что сценарий apache2ctl создаёт
защищённый каталог небезопасным способом, позволяя локальному атакующему
добиться повышения привилегий через атаку по символической ссылке. Эта проблема
специально касается Debian.
В стабильном выпуске (squeeze) эти проблема были исправлены в
версии 2.2.16-6+squeeze11.
В тестируемом выпуске (wheezy) эти проблемы будут исправлены в
версии 2.2.22-13.
В нестабильном выпуске (sid) эти проблемы будут исправлены в
версии 2.2.22-13.
Рекомендуется обновить пакеты apache2.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 6:
noarch:
apache2 - 2.2.16-6+squeeze11
Debian GNU/Linux 6:
noarch:
apache2 - 2.2.16-6+squeeze11
Ссылки
http://www.debian.org/security/dsa-2637/
Источник: CVE
Наименование: CVE-2012-4558
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4558
Источник: CVE
Наименование: CVE-2013-1048
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1048
Источник: CVE
Наименование: CVE-2012-3499
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-3499
Источник: CVE
Наименование: CVE-2012-4558
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4558
Источник: CVE
Наименование: CVE-2013-1048
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1048
Источник: CVE
Наименование: CVE-2012-3499
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-3499