• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-4509-1 apache2 -- обновление безопасности

Главная Специалистам База уязвимостей DSA-4509-1 apache2 -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Описание
В HTTPD-сервере Apache было обнаружено несколько уязвимостей.

CVE-2019-9517
    Джонатан Луни сообщил, что злоумышленник может вызвать отказ
    в обслуживании (исчерпание ресурсов исполняемых модулей h2) путём
    заполнения соединения запросами без чтения ответов по
    TCP-соединению.
CVE-2019-10081
    Крейг Янг сообщил, что HTTP/2 PUSH может приводить к перезаписи
    содержимого памяти в пуле отправляемого запроса, что вызывает аварийную остановку.
CVE-2019-10082
    Крейг Янг сообщил, что обработка сессии HTTP/2 может вызывать чтение
    памяти после её освобождения в ходе завершения соединения.
CVE-2019-10092
    Матеи Mal Бадану сообщил об ограниченном межсайтовом скриптинге
    на странице ошибки mod_proxy.
CVE-2019-10097
    Дэниель Маккарни сообщил, что когда mod_remoteip настроен на использование
    доверенного промежуточного прокси, использующего протокол PROXY,
    то специально сформированный заголовок PROXY может вызвать переполнение буфера
    или разыменование NULL-указателя. Эта уязвимость может использоваться только
    доверенным прокси, но не может использоваться недоверенными HTTP-клиентами. Проблема
    не касается выпуска stretch.
CVE-2019-10098
    Юкитсугу Сасаки сообщил о потенциальном открытом перенаправлении в
    модуле mod_rewrite.

В предыдущем стабильном выпуске (stretch) эти проблемы были исправлены
в версии 2.4.25-3+deb9u8.
В стабильном выпуске (buster) эти проблемы были исправлены в
версии 2.4.38-3+deb10u1.
Рекомендуется обновить пакеты apache2.
С подробным статусом поддержки безопасности apache2 можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/apache2">https://security-tracker.debian.org/tracker/apache2">https://security-tracker.debian.org/tracker/apache2
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
apache2 - 2.4.25-3+deb9u8
apache2-bin - 2.4.25-3+deb9u8
apache2-data - 2.4.25-3+deb9u8
apache2-dbg - 2.4.25-3+deb9u8
apache2-dev - 2.4.25-3+deb9u8
apache2-doc - 2.4.25-3+deb9u8
apache2-ssl-dev - 2.4.25-3+deb9u8
apache2-suexec-custom - 2.4.25-3+deb9u8
apache2-suexec-pristine - 2.4.25-3+deb9u8
apache2-utils - 2.4.25-3+deb9u8
Debian GNU/Linux 1:
noarch:
apache2 - 2.4.38-3+deb10u1
apache2-bin - 2.4.38-3+deb10u1
apache2-data - 2.4.38-3+deb10u1
apache2-dev - 2.4.38-3+deb10u1
apache2-doc - 2.4.38-3+deb10u1
apache2-ssl-dev - 2.4.38-3+deb10u1
apache2-suexec-custom - 2.4.38-3+deb10u1
apache2-suexec-pristine - 2.4.38-3+deb10u1
apache2-utils - 2.4.38-3+deb10u1
libapache2-mod-md - 2.4.38-3+deb10u1
libapache2-mod-proxy-uwsgi - 2.4.38-3+deb10u1
Ссылки
http://www.debian.org/security/dsa-4509/

Источник: CVE
Наименование: CVE-2019-10092
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10092

Источник: CVE
Наименование: CVE-2019-10081
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10081

Источник: CVE
Наименование: CVE-2019-9517
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9517

Источник: CVE
Наименование: CVE-2019-10082
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10082

Источник: CVE
Наименование: CVE-2019-10097
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10097

Источник: CVE
Наименование: CVE-2019-10098
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10098