blob: f24d0f0b87f1978ed688daa7719099f258898da9 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
|
#use wml::debian::translation-check translation="9bf43d9ebe1fe8f0f648cd5c0431b530d1105d92" mindelta="1" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности</define-tag>
<define-tag moreinfo>
<p>В HTTP-сервере Apache было обнаружено несколько уязвимостей.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-17189">CVE-2018-17189</a>
<p>Галь Голдштейн из F5 Networks обнаружил отказ в обслуживании
в mod_http2. При отправке специально сформированных запросов
поток http/2 для такого запроса нецелесообразно занимает серверный поток
очистки входящих данных, что приводит к отказу в обслуживании.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-17199">CVE-2018-17199</a>
<p>Диего Ангуло из ImExHS обнаружил, что mod_session_cookie не учитывает
время жизни сессии.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-0196">CVE-2019-0196</a>
<p>Крэйг Янг обнаружил, что обработка запроса http/2 в mod_http2
может получить доступ к освобождённой памяти в коде сравнения строк при
определении метода запроса, что приводит к неправильной обработке
запроса.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-0211">CVE-2019-0211</a>
<p>Чарльз Фол обнаружил повышение привилегий из менее привилегированного
дочернего процесса до уровня родительского процесса, запущенного от лица суперпользователя.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-0217">CVE-2019-0217</a>
<p>Состояние гонки в mod_auth_digest при запуске в режиме серверной обработки каждого запроса в
новом потоке может позволить пользователю с корректными данными учётной записи аутентифицироваться
с использованием другого имени пользователя, обходя тем самым настроенные ограничения
управления доступом. Проблема была обнаружена Саймоном Каппелем.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-0220">CVE-2019-0220</a>
<p>Бернхард Лоренц из Alpha Strike Labs GmbH сообщил, что нормализации URL
обрабатываются непоследовательно. В случае, если путь в запрошенном URL
содержит несколько последовательных косых черт ('/'), то такие директивы
как LocationMatch и RewriteRule должны учитывать дубликаты в
регулярных выражениях, хотя другие аспекты серверной обработки
неявным образом их сворачивают.</p></li>
</ul>
<p>В стабильном выпуске (stretch) эти проблемы были исправлены в
version 2.4.25-3+deb9u7.</p>
<p>Данное обновление содержит исправления ошибок, которые планировалось включить в
следующую редакцию стабильного выпуска. Среди них имеется исправление регрессии, вызванной
исправлением безопасности в версии 2.4.25-3+deb9u6.</p>
<p>Рекомендуется обновить пакеты apache2.</p>
<p>С подробным статусом поддержки безопасности apache2 можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
<a href="https://security-tracker.debian.org/tracker/apache2">\
https://security-tracker.debian.org/tracker/apache2</a></p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2019/dsa-4422.data"
|
