USN-4113-1 修正了 Apache HTTP 伺服器中的弱點。
可惜的是，代理某些組態中的平衡器管理程式連線時，該更新引發了迴歸。此更新可修正該問題。

由此給您帶來的不便，我們深表歉意。

Stefan Eissing 發現 Apache 中的 HTTP/2 實作在某些情況下並未正確處理從 HTTP/1.1 至 HTTP/2 的升級要求。遠端攻擊者可利用此缺陷造成拒絕服務 (程序損毀)。此問題僅影響 Ubuntu 18.04 LTS 和 Ubuntu 19.04。(CVE-2019-0197)

Craig Young 發現當在某些情況下執行 HTTP/2 過早推播時，Apache 中會出現記憶體覆寫錯誤。遠端攻擊者可利用此缺陷造成拒絕服務 (程序損毀)。
此問題僅影響 Ubuntu 18.04 LTS 和 Ubuntu 19.04。
(CVE-2019-10081)

Craig Young 發現當連線關閉時，Apache 中的 HTTP/2 實作會出現釋放後讀取錯誤。遠端攻擊者可利用此缺陷造成拒絕服務 (程序損毀) 或洩漏敏感資訊。此問題僅影響 Ubuntu 18.04 LTS 和 Ubuntu 19.04。(CVE-2019-10082)

Matei Badanoiu 發現 Apache 的 mod_proxy 元件在某些組態下通報錯誤時，並未正確過濾 URL。
遠端攻擊者可能會利用此問題發動跨網站指令碼 (XSS) 攻擊。(CVE-2019-10092)

Daniel McCarney 發現 Apache 的 mod_remoteip 元件在某些情況下剖析受信任的中繼 proxy 所傳來的標頭時，會出現堆疊緩衝溢位。控制受信任之 proxy 的遠端攻擊者可利用此缺陷造成拒絕服務，亦可能執行任意程式碼。此問題只會影響 Ubuntu 19.04。
(CVE-2019-10097)

Yukitsugu Sasaki 發現 Apache 的 mod_rewrite 元件在某些情況下容易遭到開放重新導向的攻擊。遠端攻擊者可能利用此弱點洩漏敏感資訊或繞過預定的限制。(CVE-2019-10098)

Jonathan Looney 發現 Apache 中的 HTTP/2 實作在某些情況下並未正確限制用戶端連線的暫存資料數量。遠端攻擊者可利用此缺陷造成拒絕服務 (程序無回應)。此問題僅影響了 Ubuntu 18.04 LTS 和 Ubuntu 19.04。(CVE-2019-9517)。

請注意，Tenable Network Security 已直接從 Ubuntu 安全性公告擷取前述描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

偵測

Ubuntu 16.04 LTS / 18.04 LTS：Apache HTTP Server 迴歸 (USN-4113-2)

critical Nessus Plugin ID 128993

版本 1.9

版本 1.5

版本 1.9 Oct 21, 2023, 9:06 AM Detection Plugin metadata Plugin Feed: 202310210906
版本 1.5 Dec 6, 2022, 2:54 AM Reference Plugin Feed: 202212060254