Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
apache2
(any)
apache2-bin
(any)
apache2-data
(any)
apache2-dbg
(any)
apache2-dev
(any)
apache2-doc
(any)
apache2-ssl-dev
(any)
apache2-suexec-custom
(any)
apache2-suexec-pristine
(any)
apache2-utils
(any)
libapache2-mod-md
(any)
libapache2-mod-proxy-uwsgi
(any)
Описание
В HTTPD-сервере Apache было обнаружено несколько уязвимостей.
CVE-2019-9517
Джонатан Луни сообщил, что злоумышленник может вызвать отказ
в обслуживании (исчерпание ресурсов исполняемых модулей h2) путём
заполнения соединения запросами без чтения ответов по
TCP-соединению.
CVE-2019-10081
Крейг Янг сообщил, что HTTP/2 PUSH может приводить к перезаписи
содержимого памяти в пуле отправляемого запроса, что вызывает аварийную остановку.
CVE-2019-10082
Крейг Янг сообщил, что обработка сессии HTTP/2 может вызывать чтение
памяти после её освобождения в ходе завершения соединения.
CVE-2019-10092
Матеи Mal Бадану сообщил об ограниченном межсайтовом скриптинге
на странице ошибки mod_proxy.
CVE-2019-10097
Дэниель Маккарни сообщил, что когда mod_remoteip настроен на использование
доверенного промежуточного прокси, использующего протокол PROXY,
то специально сформированный заголовок PROXY может вызвать переполнение буфера
или разыменование NULL-указателя. Эта уязвимость может использоваться только
доверенным прокси, но не может использоваться недоверенными HTTP-клиентами. Проблема
не касается выпуска stretch.
CVE-2019-10098
Юкитсугу Сасаки сообщил о потенциальном открытом перенаправлении в
модуле mod_rewrite.
В предыдущем стабильном выпуске (stretch) эти проблемы были исправлены
в версии 2.4.25-3+deb9u8.
В стабильном выпуске (buster) эти проблемы были исправлены в
версии 2.4.38-3+deb10u1.
Рекомендуется обновить пакеты apache2.
С подробным статусом поддержки безопасности apache2 можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/apache2">https://security-tracker.debian.org/tracker/apache2">https://security-tracker.debian.org/tracker/apache2
CVE-2019-9517
Джонатан Луни сообщил, что злоумышленник может вызвать отказ
в обслуживании (исчерпание ресурсов исполняемых модулей h2) путём
заполнения соединения запросами без чтения ответов по
TCP-соединению.
CVE-2019-10081
Крейг Янг сообщил, что HTTP/2 PUSH может приводить к перезаписи
содержимого памяти в пуле отправляемого запроса, что вызывает аварийную остановку.
CVE-2019-10082
Крейг Янг сообщил, что обработка сессии HTTP/2 может вызывать чтение
памяти после её освобождения в ходе завершения соединения.
CVE-2019-10092
Матеи Mal Бадану сообщил об ограниченном межсайтовом скриптинге
на странице ошибки mod_proxy.
CVE-2019-10097
Дэниель Маккарни сообщил, что когда mod_remoteip настроен на использование
доверенного промежуточного прокси, использующего протокол PROXY,
то специально сформированный заголовок PROXY может вызвать переполнение буфера
или разыменование NULL-указателя. Эта уязвимость может использоваться только
доверенным прокси, но не может использоваться недоверенными HTTP-клиентами. Проблема
не касается выпуска stretch.
CVE-2019-10098
Юкитсугу Сасаки сообщил о потенциальном открытом перенаправлении в
модуле mod_rewrite.
В предыдущем стабильном выпуске (stretch) эти проблемы были исправлены
в версии 2.4.25-3+deb9u8.
В стабильном выпуске (buster) эти проблемы были исправлены в
версии 2.4.38-3+deb10u1.
Рекомендуется обновить пакеты apache2.
С подробным статусом поддержки безопасности apache2 можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/apache2">https://security-tracker.debian.org/tracker/apache2">https://security-tracker.debian.org/tracker/apache2
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
apache2 - 2.4.25-3+deb9u8
apache2-bin - 2.4.25-3+deb9u8
apache2-data - 2.4.25-3+deb9u8
apache2-dbg - 2.4.25-3+deb9u8
apache2-dev - 2.4.25-3+deb9u8
apache2-doc - 2.4.25-3+deb9u8
apache2-ssl-dev - 2.4.25-3+deb9u8
apache2-suexec-custom - 2.4.25-3+deb9u8
apache2-suexec-pristine - 2.4.25-3+deb9u8
apache2-utils - 2.4.25-3+deb9u8
Debian GNU/Linux 1:
noarch:
apache2 - 2.4.38-3+deb10u1
apache2-bin - 2.4.38-3+deb10u1
apache2-data - 2.4.38-3+deb10u1
apache2-dev - 2.4.38-3+deb10u1
apache2-doc - 2.4.38-3+deb10u1
apache2-ssl-dev - 2.4.38-3+deb10u1
apache2-suexec-custom - 2.4.38-3+deb10u1
apache2-suexec-pristine - 2.4.38-3+deb10u1
apache2-utils - 2.4.38-3+deb10u1
libapache2-mod-md - 2.4.38-3+deb10u1
libapache2-mod-proxy-uwsgi - 2.4.38-3+deb10u1
Debian GNU/Linux 9:
noarch:
apache2 - 2.4.25-3+deb9u8
apache2-bin - 2.4.25-3+deb9u8
apache2-data - 2.4.25-3+deb9u8
apache2-dbg - 2.4.25-3+deb9u8
apache2-dev - 2.4.25-3+deb9u8
apache2-doc - 2.4.25-3+deb9u8
apache2-ssl-dev - 2.4.25-3+deb9u8
apache2-suexec-custom - 2.4.25-3+deb9u8
apache2-suexec-pristine - 2.4.25-3+deb9u8
apache2-utils - 2.4.25-3+deb9u8
Debian GNU/Linux 1:
noarch:
apache2 - 2.4.38-3+deb10u1
apache2-bin - 2.4.38-3+deb10u1
apache2-data - 2.4.38-3+deb10u1
apache2-dev - 2.4.38-3+deb10u1
apache2-doc - 2.4.38-3+deb10u1
apache2-ssl-dev - 2.4.38-3+deb10u1
apache2-suexec-custom - 2.4.38-3+deb10u1
apache2-suexec-pristine - 2.4.38-3+deb10u1
apache2-utils - 2.4.38-3+deb10u1
libapache2-mod-md - 2.4.38-3+deb10u1
libapache2-mod-proxy-uwsgi - 2.4.38-3+deb10u1
Ссылки
http://www.debian.org/security/dsa-4509/
Источник: CVE
Наименование: CVE-2019-10092
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10092
Источник: CVE
Наименование: CVE-2019-10081
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10081
Источник: CVE
Наименование: CVE-2019-9517
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9517
Источник: CVE
Наименование: CVE-2019-10082
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10082
Источник: CVE
Наименование: CVE-2019-10097
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10097
Источник: CVE
Наименование: CVE-2019-10098
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10098
Источник: CVE
Наименование: CVE-2019-10092
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10092
Источник: CVE
Наименование: CVE-2019-10081
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10081
Источник: CVE
Наименование: CVE-2019-9517
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9517
Источник: CVE
Наименование: CVE-2019-10082
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10082
Источник: CVE
Наименование: CVE-2019-10097
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10097
Источник: CVE
Наименование: CVE-2019-10098
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10098