• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-4422-1 apache2 -- обновление безопасности

Главная Специалистам База уязвимостей DSA-4422-1 apache2 -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Описание
В HTTP-сервере Apache было обнаружено несколько уязвимостей.

CVE-2018-17189
    Галь Голдштейн из F5 Networks обнаружил отказ в обслуживании
    в mod_http2. При отправке специально сформированных запросов
    поток http/2 для такого запроса нецелесообразно занимает серверный поток
    очистки входящих данных, что приводит к отказу в обслуживании.
CVE-2018-17199
    Диего Ангуло из ImExHS обнаружил, что mod_session_cookie не учитывает
    время жизни сессии.
CVE-2019-0196
    Крэйг Янг обнаружил, что обработка запроса http/2 в mod_http2
    может получить доступ к освобождённой памяти в коде сравнения строк при
    определении метода запроса, что приводит к неправильной обработке
    запроса.
CVE-2019-0211
    Чарльз Фол обнаружил повышение привилегий из менее привилегированного
    дочернего процесса до уровня родительского процесса, запущенного от лица суперпользователя.
CVE-2019-0217
    Состояние гонки в mod_auth_digest при запуске в режиме серверной обработки каждого запроса в
    новом потоке может позволить пользователю с корректными данными учётной записи аутентифицироваться
    с использованием другого имени пользователя, обходя тем самым настроенные ограничения
    управления доступом. Проблема была обнаружена Саймоном Каппелем.
CVE-2019-0220
    Бернхард Лоренц из Alpha Strike Labs GmbH сообщил, что нормализации URL
    обрабатываются непоследовательно. В случае, если путь в запрошенном URL
    содержит несколько последовательных косых черт ('/'), то такие директивы
    как LocationMatch и RewriteRule должны учитывать дубликаты в
    регулярных выражениях, хотя другие аспекты серверной обработки
    неявным образом их сворачивают.

В стабильном выпуске (stretch) эти проблемы были исправлены в
version 2.4.25-3+deb9u7.
Данное обновление содержит исправления ошибок, которые планировалось включить в
следующую редакцию стабильного выпуска. Среди них имеется исправление регрессии, вызванной
исправлением безопасности в версии 2.4.25-3+deb9u6.
Рекомендуется обновить пакеты apache2.
С подробным статусом поддержки безопасности apache2 можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/apache2">https://security-tracker.debian.org/tracker/apache2">https://security-tracker.debian.org/tracker/apache2
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
apache2 - 2.4.25-3+deb9u7
apache2-bin - 2.4.25-3+deb9u7
apache2-data - 2.4.25-3+deb9u7
apache2-dbg - 2.4.25-3+deb9u7
apache2-dev - 2.4.25-3+deb9u7
apache2-doc - 2.4.25-3+deb9u7
apache2-ssl-dev - 2.4.25-3+deb9u7
apache2-suexec-custom - 2.4.25-3+deb9u7
apache2-suexec-pristine - 2.4.25-3+deb9u7
apache2-utils - 2.4.25-3+deb9u7
Ссылки
http://www.debian.org/security/dsa-4422/

Источник: CVE
Наименование: CVE-2019-0220
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0220

Источник: CVE
Наименование: CVE-2019-0217
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0217

Источник: CVE
Наименование: CVE-2018-17199
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-17199

Источник: CVE
Наименование: CVE-2019-0196
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0196

Источник: CVE
Наименование: CVE-2018-17189
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-17189

Источник: CVE
Наименование: CVE-2019-0211
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0211