Debian dla-4270apache2 - 安全性更新
critical Nessus Plugin ID 249166
語言:
概要
遠端 Debian 主機上缺少一個或多個安全性更新。說明
遠端 Debian 11 主機已安裝受到多個弱點影響的套件如 dla-4270 公告中所提及。- ------------------------------------------------- ------------------------ Debian LTS 公告 DLA-4270-1 [email protected] https://www.debian.org/lts/security/Bastien Roucaris 2025 年 8 月 12 日 https://wiki.debian.org/LTS
- -------------------------------------------------------------------------
套件 apache2 版本 2.4.65-1~deb11u1 CVE ID CVE-2024-42516 CVE-2024-43204 CVE-2024-43394 CVE-2024-47252 CVE-2025-23048 CVE-2025-49630 CVE-2025-49812 CVE-2025-53020 CVE-2025-54090
已在廣泛使用的 Web 伺服器 Apache 中解決多個弱點。
請注意此 DLA 隨附的 CVE-2025-23048修正可能會造成某些啟用 SSL 的網站發生錯誤 AH02032。
本公告的結尾提供其他詳細資料。
CVE-2024-42516
Apache HTTP Server 核心中的 HTTP 回應分割允許可操控由伺服器主控或代理之應用程式之 Content-Type 回應標頭的攻擊者分割 HTTP 回應
CVE-2024-43204
在載入 mod_proxy 的 Apache HTTP Server 中發現一個 SSRF (伺服器端要求偽造) 情形攻擊者可將傳出的代理伺服器要求傳送至攻擊者控制的 URL。
此攻擊需要不太可能的組態其中 mod_headers 設為使用 HTTP 要求中提供的值修改 Content-Type 要求或回應標頭
CVE-2024-43394
Windows 上 Apache HTTP Server 中的伺服器端要求偽造 (SSRF) 可能允許透過傳遞未驗證要求輸入的 mod_rewrite 或 apache 運算式將 NTLM 雜湊洩漏給惡意伺服器。
CVE-2024-47252
mod_ssl 中使用者提供的資料逸出不足允許未受信任的 SSL/TLS 用戶端在某些組態中將逸出字元插入記錄檔。在 CustomLog 搭配 %{varname}x 或 %{varname}c 使用以記錄 mod_ssl 提供的變數 (例如 SSL_TLS_SNI) 的記錄組態中mod_log_config 或 mod_ssl 不會執行任何逸出且用戶端提供的未清理資料可能會出現在記錄檔中。
CVE-2025-23048
受信任的用戶端可能利用 TLS 1.3 工作階段恢復繞過存取控制。為多個虛擬主機設定 mod_ssl 時,組態會受到影響,且每個虛擬主機都限制為使用不同的受信任用戶端憑證集 (例如,使用不同的 SSLCACertificateFile/Path 設定)。
在這種情況下如果任一虛擬主機中未啟用 SSLStrictSNIVHostCheck則受信任可存取一個虛擬主機的用戶端可能能夠存取另一個虛擬主機。
CVE-2025-49630
在某些 Proxy 組態中未受信任的用戶端可觸發針對 Apache HTTP Server 的拒絕服務攻擊進而在 mod_proxy_http2 中造成宣告。受影響的組態是針對 HTTP/2 後端設定反向代理伺服器並將 ProxyPreserveHost 設定為開啟。
CVE-2025-49812
在 Apache HTTP 伺服器上的某些 mod_ssl 組態中HTTP 失去同步攻擊可讓攔截式攻擊者透過 TLS 升級劫持 HTTP 工作階段。只有使用 SSLEngine (選用 SSLEngine) 來啟用 TLS 升級的組態會受到影響。
已移除 TLS 升級支援。
CVE-2025-53020
在 Apache HTTP Server 中發現一個有效存留期後記憶體最新釋放弱點。
CVE-2025-54090
Apache HTTP Server 2.4.64 中的一個錯誤會導致所有 RewriteCond expr ... 測試評估為 true
針對 Debian 11 Bullseye這些問題已在 2.4.65-1~deb11u1 版本中修正。
請注意在解決 CVE-2025-23048之後部分啟用 SSL 的網站可能會開始遇到錯誤 (AH02032)
錯誤導向的要求
用戶端需要為此要求建立新連線因為要求的主機名稱不符合此連線使用中的伺服器名稱指示 (SNI)。
此行為在使用 AWS Application Load Balancer 時尤其明顯。雖然支援智慧型 SNI 處理但尚未 (撰寫本文時) 轉送 SNI 資料至目標伺服器導致在主機名稱不一致時連線失敗。
若用戶端未提供 SNI則當多個 vhost 在相同 IP:port 上接聽時httpd 無法判斷應使用哪個 vhost/組態來提供正確的憑證 (以及最終的 TLS 驗證)。
這是因為讀取 HTTP 主機標頭必須在 TLS 交握/驗證/解密之後發生 (TLSv1.3 無法使用之後的重新交涉選項)。
因此這些連線會針對 TLS 交握部分回歸至在 IP:port 上宣告的第一個 vhost如果要求主機標頭最終符合具有不同 TLS 組態的不同 vhost則該要求會因 AH02032而被拒絕。
在 2.4.64 之前的版本中檢查並不准確而且會允許具有安全性影響的檢查。
作為因應措施您可以 (在風險分析之後) 產生萬用字元憑證。如果您重新管理多個網域請將每個萬用字元網域做為別名納入單一憑證中。然後更新 Apache 組態以參照此統一憑證。
另一個可能的因應措施是將每個虛擬主機設定為在獨立的連接埠上接聽。此方法可確保透過各自的連線端點對每個 vhost 進行唯一處理藉此避免 SNI 相關問題進而允許不同的 TLS 組態沒有二義性。
此錯誤也可能是因設定錯誤的 HAProxy 設定所導致。
在這種情況下可能有必要在 HAProxy 上啟用動態 SNI 處理以確保在 TLS 交握期間傳遞正確的主機名稱。進行風險分析後使用 sni req.hdr(Host) 指示詞即可完成。
我們建議您升級 apache2 套件。
如需有關 apache2 安全性狀態的詳細資訊,請參閱其安全追蹤頁面:
https://security-tracker.debian.org/tracker/apache2
有關 Debian LTS 安全公告、如何將這些更新套用至您的系統以及常見問題的詳細資訊,請參閱:https://wiki.debian.org/LTS
Tenable 已直接從 Debian 安全公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級 apache2 套件。另請參閱
https://security-tracker.debian.org/tracker/source-package/apache2
https://security-tracker.debian.org/tracker/CVE-2024-42516
https://security-tracker.debian.org/tracker/CVE-2024-43204
https://security-tracker.debian.org/tracker/CVE-2024-43394
https://security-tracker.debian.org/tracker/CVE-2024-47252
https://security-tracker.debian.org/tracker/CVE-2025-23048
https://security-tracker.debian.org/tracker/CVE-2025-49630
https://security-tracker.debian.org/tracker/CVE-2025-49812
https://security-tracker.debian.org/tracker/CVE-2025-53020
Plugin 詳細資訊
嚴重性: Critical
ID: 249166
檔案名稱: debian_DLA-4270.nasl
版本: 1.1
類型: local
代理程式: unix
已發布: 2025/8/12
已更新: 2025/8/12
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.0
CVSS v2
風險因素: High
基本分數: 9.4
時間性分數: 7
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N
CVSS 評分資料來源: CVE-2025-23048
CVSS v3
風險因素: Critical
基本分數: 9.1
時間性分數: 7.9
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:apache2-bin, p-cpe:/a:debian:debian_linux:libapache2-mod-md, p-cpe:/a:debian:debian_linux:libapache2-mod-proxy-uwsgi, p-cpe:/a:debian:debian_linux:apache2-doc, p-cpe:/a:debian:debian_linux:apache2-suexec-custom, p-cpe:/a:debian:debian_linux:apache2, p-cpe:/a:debian:debian_linux:apache2-dev, p-cpe:/a:debian:debian_linux:apache2-data, p-cpe:/a:debian:debian_linux:apache2-suexec-pristine, p-cpe:/a:debian:debian_linux:apache2-utils, p-cpe:/a:debian:debian_linux:apache2-ssl-dev
必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2025/8/12
弱點發布日期: 2025/7/8
參考資訊
CVE: CVE-2024-42516, CVE-2024-43204, CVE-2024-43394, CVE-2024-47252, CVE-2025-23048, CVE-2025-49630, CVE-2025-49812, CVE-2025-53020, CVE-2025-54090
IAVA: 2025-A-0508-S, 2025-A-0547