• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-3325-2 apache2 -- обновление безопасности

Главная Специалистам База уязвимостей DSA-3325-2 apache2 -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:N/I:P/A:N)
Производитель ПО
Описание
В HTTPD-сервере Apache было обнаружено несколько уязвимостей.

CVE-2015-3183
    Возможна тайная отправка запросов HTTP из-за ошибки в коде, выполняющем
    грамматический разбор порционных запросов. Злоумышленник может заставить
    сервер неправильно интерпретировать длину запроса, что позволяет выполнить изменение кэша
    или перехват данных учётной записи в случае использоваться прокси между клиентом и сервером.
CVE-2015-3185
    Ошибка разработки в функции ap_some_auth_required делает невозможным
    использование API в apache2 версий 2.4.x. Это может приводить к тому, что модули, использующие
    API, будут получать доступ даже если в противном случае они бы его не получили.
    Исправление представляет собой обратный перенос нового API ap_some_authn_required из версии 2.4.16.
    Данная ошибка не затрагивает предыдущий стабильный выпуск (wheezy).

Кроме того, в обновлённом пакете для предыдущего стабильного выпуска (wheezy)
снято ограничение параметров протокола Диффи-Хеллмана (DH) 1024 битами.
Данное ограничение потенциально может позволить злоумышленнику, имеющему очень большие
вычислительные ресурсы (например, государству) взломать обмен ключами по указанному протоколу
с помощью предварительных вычислений. Обновлённый пакет apache2 также позволяет выбрать
собственные параметры DH. Дополнительная информация содержится в
файле changelog.Debian.gz.
Данные улучшения уже присутствуют в стабильном, тестируемом и
нестабильном выпусках.
В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены
в версии 2.2.22-13+deb7u5.
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 2.4.10-10+deb8u1.
В тестируемом выпуске (stretch) эти проблемы будут исправлены
позже.
В нестабильном выпуске (sid) эти проблемы будут исправлены позже.
Рекомендуется обновить пакеты apache2.
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
apache2 - 2.2.22-13+deb7u6
apache2-dbg - 2.2.22-13+deb7u6
apache2-doc - 2.2.22-13+deb7u6
apache2-mpm-event - 2.2.22-13+deb7u6
apache2-mpm-itk - 2.2.22-13+deb7u6
apache2-mpm-prefork - 2.2.22-13+deb7u6
apache2-mpm-worker - 2.2.22-13+deb7u6
apache2-prefork-dev - 2.2.22-13+deb7u6
apache2-suexec - 2.2.22-13+deb7u6
apache2-suexec-custom - 2.2.22-13+deb7u6
apache2-threaded-dev - 2.2.22-13+deb7u6
apache2-utils - 2.2.22-13+deb7u6
apache2.2-bin - 2.2.22-13+deb7u6
apache2.2-common - 2.2.22-13+deb7u6
Ссылки
http://www.debian.org/security/dsa-3325/

Источник: CVE
Наименование: CVE-2015-3185
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3185

Источник: CVE
Наименование: CVE-2015-3183
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3183