Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
apache2
(any)
Описание
В HTTP-сервере Apache2 было обнаружено несколько уязвимостей.
CVE-2016-0736
Сотрудники RedTeam Pentesting GmbH обнаружили, что модуль mod_session_crypto
уязвим к атакам через предсказание дополнения, что может позволить злоумышленнику
отгадать куки сессии.
CVE-2016-2161
Максим Малютин обнаружил, что некорректные входные данные, передаваемые модулю mod_auth_digest,
могут вызывать аварийную остановку сервера, приводя к отказу в обслуживании.
CVE-2016-8743
Дэвид Деннерлайн из IBM Security's X-Force Researchers и Регис
Лерой обнаружили проблемы в способе, используемом Apache для обработки основного шаблона
необычных шаблонов пробельных символов в HTTP-запросах. При некоторых
настройках это может приводить к разбивке ответа или заражению
кэша. Для исправления указанных проблем в данном обновлении были изменены настройки
Apache httpd так, чтобы служба более строго отбирала принимаемые HTTP-запросы.
Если это будет приводить к проблемам в работе клиентов, то некоторые проверки можно
отключить путём добавления новой директивы HttpProtocolOptions unsafe
в файл настроек.
Кроме того, данное обновление исправляет проблему, из-за которой модуль mod_reqtimeout
не включался по умолчанию на свежих установках.
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 2.4.10-10+deb8u8.
В тестируемом (stretch) и нестабильном (sid) выпусках эти
проблемы были исправлены в версии 2.4.25-1.
Рекомендуется обновить пакеты apache2.
CVE-2016-0736
Сотрудники RedTeam Pentesting GmbH обнаружили, что модуль mod_session_crypto
уязвим к атакам через предсказание дополнения, что может позволить злоумышленнику
отгадать куки сессии.
CVE-2016-2161
Максим Малютин обнаружил, что некорректные входные данные, передаваемые модулю mod_auth_digest,
могут вызывать аварийную остановку сервера, приводя к отказу в обслуживании.
CVE-2016-8743
Дэвид Деннерлайн из IBM Security's X-Force Researchers и Регис
Лерой обнаружили проблемы в способе, используемом Apache для обработки основного шаблона
необычных шаблонов пробельных символов в HTTP-запросах. При некоторых
настройках это может приводить к разбивке ответа или заражению
кэша. Для исправления указанных проблем в данном обновлении были изменены настройки
Apache httpd так, чтобы служба более строго отбирала принимаемые HTTP-запросы.
Если это будет приводить к проблемам в работе клиентов, то некоторые проверки можно
отключить путём добавления новой директивы HttpProtocolOptions unsafe
в файл настроек.
Кроме того, данное обновление исправляет проблему, из-за которой модуль mod_reqtimeout
не включался по умолчанию на свежих установках.
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 2.4.10-10+deb8u8.
В тестируемом (stretch) и нестабильном (sid) выпусках эти
проблемы были исправлены в версии 2.4.25-1.
Рекомендуется обновить пакеты apache2.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
apache2 - 2.4.10-10+deb8u8
Debian GNU/Linux 8:
noarch:
apache2 - 2.4.10-10+deb8u8
Ссылки
http://www.debian.org/security/dsa-3796/
Источник: CVE
Наименование: CVE-2016-0736
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0736
Источник: CVE
Наименование: CVE-2016-2161
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2161
Источник: CVE
Наименование: CVE-2016-8743
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8743
Источник: CVE
Наименование: CVE-2016-0736
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0736
Источник: CVE
Наименование: CVE-2016-2161
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2161
Источник: CVE
Наименование: CVE-2016-8743
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8743