• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-3796-2 apache2 -- обновление безопасности

Главная Специалистам База уязвимостей DSA-3796-2 apache2 -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Описание
В HTTP-сервере Apache2 было обнаружено несколько уязвимостей.

CVE-2016-0736
  Сотрудники RedTeam Pentesting GmbH обнаружили, что модуль mod_session_crypto
  уязвим к атакам через предсказание дополнения, что может позволить злоумышленнику
  отгадать куки сессии.
CVE-2016-2161
  Максим Малютин обнаружил, что некорректные входные данные, передаваемые модулю mod_auth_digest,
  могут вызывать аварийную остановку сервера, приводя к отказу в обслуживании.
CVE-2016-8743
  Дэвид Деннерлайн из IBM Security's X-Force Researchers и Регис
  Лерой обнаружили проблемы в способе, используемом Apache для обработки основного шаблона
  необычных шаблонов пробельных символов в HTTP-запросах. При некоторых
  настройках это может приводить к разбивке ответа или заражению
  кэша. Для исправления указанных проблем в данном обновлении были изменены настройки
  Apache httpd так, чтобы служба более строго отбирала принимаемые HTTP-запросы.
  Если это будет приводить к проблемам в работе клиентов, то некоторые проверки можно
  отключить путём добавления новой директивы HttpProtocolOptions unsafe
  в файл настроек.

Кроме того, данное обновление исправляет проблему, из-за которой модуль mod_reqtimeout
не включался по умолчанию на свежих установках.
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 2.4.10-10+deb8u8.
В тестируемом (stretch) и нестабильном (sid) выпусках эти
проблемы были исправлены в версии 2.4.25-1.
Рекомендуется обновить пакеты apache2.
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
sitesummary - 0.1.17+deb8u2
sitesummary-client - 0.1.17+deb8u2
Ссылки
http://www.debian.org/security/dsa-3796/

Источник: CVE
Наименование: CVE-2016-0736
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0736

Источник: CVE
Наименование: CVE-2016-2161
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2161

Источник: CVE
Наименование: CVE-2016-8743
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8743