Debian DSA-2579-1:apache2 - 多种问题
medium Nessus 插件 ID 63114
语言:
简介
远程 Debian 主机缺少与安全相关的更新。描述
在 Apache HTTPD Server 中发现一个漏洞:- CVE-2012-4557 在 mod_proxy_ajp 连接到响应耗时过长的后端服务器时发现一个缺陷。在给定特定配置的情况下,远程攻击者可发送某些请求,将后端服务器置于错误状态,直到重试超时到期。这可导致临时拒绝服务。
此外,此更新还为以下问题添加了服务器端缓解:
- CVE-2012-4929 如果将 SSL/TLS 数据压缩与到 Web 浏览器的连接中的 HTTPS 一起使用,则中间人攻击者可能获取明文 HTTP 标头。此问题被称为“CRIME”攻击。默认情况下,此 apache2 更新禁用 SSL 压缩。已向后移植新的 SSLCompression 指令,该指令可用于在“CRIME”攻击不是问题的环境中重新启用 SSL 数据压缩。有关更多信息,请参阅 SSLCompression 指令文档。
解决方案
升级 apache2 程序包。对于稳定发行版本 (squeeze),已在版本 2.2.16-6+squeeze10 中修复了这些问题。
另见
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=689936
https://security-tracker.debian.org/tracker/CVE-2012-4557
https://security-tracker.debian.org/tracker/CVE-2012-4929
https://httpd.apache.org/docs/current/mod/mod_ssl.html#sslcompression
插件详情
严重性: Medium
ID: 63114
文件名: debian_DSA-2579.nasl
版本: 1.13
类型: local
代理: unix
发布时间: 2012/12/2
最近更新时间: 2021/1/11
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 4.9
CVSS v2
风险因素: Medium
基本分数: 5
时间分数: 3.7
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
漏洞信息
CPE: p-cpe:/a:debian:debian_linux:apache2, cpe:/o:debian:debian_linux:6.0
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
易利用性: No known exploits are available
补丁发布日期: 2012/11/30
漏洞发布日期: 2012/9/15
参考资料信息
CVE: CVE-2012-4557, CVE-2012-4929
BID: 55704
DSA: 2579