Debian DSA-2405-1：apache2 - 多种问题

medium Nessus 插件 ID 57851

语言：

简介

远程 Debian 主机缺少与安全相关的更新。

描述

已发现 Apache HTTPD Server 中存在多个漏洞：

- CVE-2011-3607：
ap_pregsub() 中的整数溢出可允许本地攻击者通过构建的 .htaccess 文件以提升的权限执行任意代码。

- CVE-2011-3368 CVE-2011-3639 CVE-2011-4317：
Apache HTTP Server 未正确验证代理请求的请求 URI。在某些使用 ProxyPassMatch 指令或使用带 [P] 标记的 RewriteRule 指令的反向代理配置中，远程攻击者可使代理连接到任意服务器。这可允许攻击者访问原本从外部无法访问的内部服务器。

三个 CVE id 指示的同一问题略有差异。

请注意，即使修复了此问题，管理员也有责任确保目标 URI 的正则表达式替换模式不允许客户端将任意字符串附加到目标 URI 的主机或端口部分。例如，配置

ProxyPassMatch ^/mail(.*) http://internal-host$1

仍然是非安全的，应替换为以下配置之一：

ProxyPassMatch ^/mail(/.*) http://internal-host$1 ProxyPassMatch ^/mail/(.*) http://internal-host/$1

- CVE-2012-0031：
apache2 子进程可造成父进程在关机时崩溃。这违反了 apache2 进程之间的权限分离原则，可能被利用来加重其他漏洞的影响。

- CVE-2012-0053：
错误代码 400（错误请求）的响应消息可用于暴露“httpOnly”Cookie。这可允许远程攻击者使用跨站脚本窃取认证 Cookie。

解决方案

升级 apache2 程序包。

对于旧稳定发行版本 (lenny)，已在版本 apache2 2.2.9-10+lenny12 中修复了这些问题。

对于稳定发行版本 (squeeze)，已在版本 apache2 2.2.16-6+squeeze6 中修复了这些问题。

此更新还包含更新后的 apache2-mpm-itk 程序包，这些程序包已针对更新后的 apache2 程序包进行了重新编译。旧稳定发行版本的新版本号为 2.2.6-02-1+lenny7。在稳定发行版本中，apache2-mpm-itk 与 apache2 的版本号相同。