Debian DSA-2452-1：apache2 - 不安全的默认配置

medium Nessus 插件 ID 58754

语言：

简介

远程 Debian 主机缺少与安全相关的更新。

描述

Niels Heinen 发现安装了某些脚本模块（如 mod_php 或 mod_rivet）时，Debian 上的默认 Apache 配置的一个安全问题。产生该问题的原因是，映射到 URL /doc 的目录 /usr/share/doc 中可能包含此 URL 的请求可执行的示例脚本。尽管限制为只有来自 localhost 的连接才能访问 URL /doc，这仍然会在两种特定配置中产生安全问题：

- 如果同一个主机中的某些前端服务器将连接转发到 localhost 地址上的 apache2 后端服务器，或者
- 如果运行 apache2 的计算机也用于网页浏览。

不知道不满足这两个条件之一的系统是否容易受影响。实际安全影响取决于系统中安装的是哪些程序包（以及相应运行哪些示例脚本）。
可能的问题包括跨站脚本、代码执行或敏感数据泄漏。

此更新从文件 /etc/apache2/sites-available/default 和 .../default-ssl 中删除有问题的配置部分。不过升级时，不应盲目允许 dpkg 替换这些文件。而应将这些更改（也就是删除“Alias /doc '/usr/share/doc'”行和相关的“<Directory '/usr/share/doc/'>”区块）合并到这些配置文件的版本中。
也可能需要检查是否将这些部分复制到任何其他虚拟主机配置。