Debian DSA-2405-1 : apache2 - 多個問題

medium Nessus Plugin ID 57851

語系：

概要

遠端 Debian 主機缺少安全性更新。

說明

在 Apache HTTPD Server　中發現數個弱點：

- CVE-2011-3607：
ap_pregsub() 中的整數溢位可允許本機攻擊者透過特製的 .htaccess 檔案以提升的權限執行任意程式碼。

- CVE-2011-3368 CVE-2011-3639 CVE-2011-4317：
Apache HTTP Server 未正確驗證代理要求的要求 URI。在某些使用 ProxyPassMatch 指示詞或使用帶有 [P] 旗標之 RewriteRule 指示詞的反向代理伺服器組態中，遠端攻擊者可對任意伺服器進行代理伺服器連線。這可允許攻擊者存取無法以其他方式從外部存取的內部伺服器。

三個 CVE id 代表相同問題的三個稍有不同的變體。

請注意，即使已修正此問題，系統管理員也負有確保目標 URI 的規則運算式取代模式不允許用戶端將任意字串附加至目標 URI 之主機或連接埠部分的責任。例如，組態

ProxyPassMatch ^/mail(.*) http://internal-host$1

仍不安全，且應由下列其中一個組態取代：

ProxyPassMatch ^/mail(/.*) http://internal-host$1 ProxyPassMatch ^/mail/(.*) http://internal-host/$1

- CVE-2012-0031：
apache2 子處理程序可造成父處理程式於關機時損毀。這違反了 apache2 處理程序之間的權限分隔，並可能被用來加劇其他弱點的影響。

- CVE-2012-0053：
錯誤碼 400 (錯誤的要求) 的回應訊息可用來洩漏 'httpOnly' cookie。這可允許遠端攻擊者使用跨網站指令碼竊取驗證 cookie。

解決方案

升級 apache2 套件。

針對舊的穩定發行版本 (lenny)，這些問題已在 apache2 2.2.9-10+lenny12 版中修正。

針對穩定的發行版本 (squeeze)，這些問題已在 apache2 2.2.16-6+squeeze6 版中修正

此更新也包含針對更新版 apache2 套件重新編譯的更新版 apache2-mpm-itk 套件。舊的穩定發行版本之新版本號碼為 2.2.6-02-1+lenny7。在穩定的發行版本中，apache2-mpm-itk 的版本號碼與 apache2 相同。