Debian DSA-2452-1：apache2 - 不安全的預設組態

medium Nessus Plugin ID 58754

語系：

概要

遠端 Debian 主機缺少安全性更新。

說明

Niels Heinen 注意到，如果已安裝特定指令碼模組 (例如 mod_php or mod_rivet)，則 Debian 上的預設 Apache 組態會有一個安全性問題。該問題的發生是因為目錄 /usr/share/doc (對應至 URL /doc) 可能含有可藉著向此 URL 要求而執行的範例指令碼。雖然對 URL /doc 的存取限於來自 localhost 的連線，這仍然會在兩個特定組態內造成安全性問題：

- 如果相同主機上的某個前端伺服器將連線轉送至 localhost 位址上的 apache2 後端伺服器，或者
- 如果執行 apache2 的機器也用來執行網頁瀏覽。

不符合這兩個情形其中之一的系統，不知道是否容易受影響。實際上的安全性影響端視系統上安裝了哪些套件 (及因此含有哪些範例指令碼) 而定。
可能的問題包括跨網站指令碼、程式碼執行，或是敏感資料洩漏。

此更新會從檔案 /etc/apache2/sites-available/default and .../default-ssl 移除有問題的組態區段。不過，在升級時，您不應盲目地允許 dpkg 取代那些檔案。而是應該將變更 (亦即移除「Alias /doc '/usr/share/doc'」行與相關的「<Directory '/usr/share/doc/'>」區塊) 合併到這些組態檔的版本中。
您可能也應檢查是否已將這些區段複製到任何其他虛擬主機組態中。