1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
|
#use wml::debian::translation-check translation="7afafa2d17073754ef6731f3f0f580e520dc0d56" mindelta="1"
<define-tag description>небезопасные настройки по умолчанию</define-tag>
<define-tag moreinfo>
<p>Нильс Найнен заметил проблему безопасности с настройками Apache
по умолчанию в системах Debian в случае, если установлены определённые модули
поддержки языков сценариев, такие как mod_php или mod_rivet. Проблема возникает из-за
того, что каталог /usr/share/doc, который отображается в URL /doc, может содержать пример
сценариев, которые могут быть выполнены путём отправки запросов по этому URL. Хотя доступ
к URL /doc ограничивается соединениями с локального узла, это всё равно
создаёт проблема безопасности при двух указанных конкретных настройках:</p>
<ul>
<li>
если внешний сервер на том же узле перенаправляет подключения на
внутренний сервер apache2 по адресу локального узла, либо
</li>
<li>
если машина, на которой запущен apache2, также используется и для просмотра веб-страниц в Интернете.
</li>
</ul>
<p>Неизвестно, подвержены ли указанной уязвимости системы, не удовлетворяющие
одному из приведённых условий. Фактическое влияние на безопасность системы зависит от того,
какие пакеты (соответственно, и какие примеры сценариев) установлены в системе.
Среди возможных проблем можно назвать межсайтовый скриптинг, выполнение кода и
утечку чувствительных данных.</p>
<p>Данное обновление удаляет проблемные разделы настройки из
файлов /etc/apache2/sites-available/default и .../default-ssl. При
обновлении вам не следует вслепую разрешать dpkg заменить указанные файлы.
Вам необходимо вручную объединить изменения, в частности, удаление строки
<q>Alias /doc "/usr/share/doc"</q> и связанный с ней блок <q><Directory
"/usr/share/doc/"></q> с вашими версиями этих файлов настройки.
Кроме того, вам может потребоваться проверить, были ли указанные разделы скопированы в
какие-либо дополнительные настройки виртуальных узлов.</p>
<p>В стабильном выпуске (squeeze) эта проблема была исправлена в
версии 2.2.16-6+squeeze7.</p>
<p>В тестируемом выпуске (wheezy) эта проблема будет исправлена в
версии 2.2.22-4.</p>
<p>В нестабильном выпуске (sid) эта проблема была исправлена в
версии 2.2.22-4.</p>
<p>В экспериментальном выпуске эта проблема была исправлена в
версии 2.4.1-3.</p>
<p>Рекомендуется обновить пакеты apache2 и изменить ваши
настройки.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2012/dsa-2452.data"
|
