Множественные уязвимости в Apache

Дата публикации:
14.06.2010
Дата изменения:
20.01.2011
Всего просмотров:
1972
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
3
CVSSv2 рейтинг:
(AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:N/A:C/E:U/RL:O/RC:C) = Base:7.1/Temporal:5.3
(AV:N/AC:M/Au:N/C:N/I:N/A:C/E:U/RL:O/RC:C) = Base:7.1/Temporal:5.3
CVE ID:
CVE-2010-1452
CVE-2010-2068
Вектор эксплуатации:
Удаленная
Воздействие:
Отказ в обслуживании
Раскрытие важных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Apache 2.2.x
Уязвимые версии: Apache версии до 2.2.16

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю получить доступ к важным данным и вызвать отказ в обслуживании.

1. Уязвимость существует из-за того, что mod_proxy_http некорректно обрабатывает определенные условия таймаутов. Уязвимость может привести к тому, что ответы сервера будут возвращаться другим пользователям. Уязвимость затрагивает установки, использующие proxy worker pool на системах Windows, Netware и OS2.

2. Уязвимость существует из-за ошибки в mod_cache при обработке запросов, не содержащих сегмент пути. Удаленный пользователь может с помощью специально сформированных запросов вызвать отказ в обслуживании приложения. Для успешной эксплуатации уязвимости требуется наличие директивы "CacheIgnoreURLSessionIdentifiers" и MPM.

3. Уязвимость существует из-за ошибки в mod_dav при обработке запросов, не содержащих сегмент пути. Удаленный пользователь может с помощью специально сформированных запросов вызвать отказ в обслуживании приложения. Для успешной эксплуатации уязвимости требуется, чтобы использовался MPM worker.

URL производителя: httpd.apache.org

Решение: Установите последнюю версию 2.2.16 с сайта производителя.

Ссылки: http://httpd.apache.org/security/vulnerabilities_22.html
http://mail-archives.apache.org/mod_mbox/httpd-announce/201006.mbox/%3C4C12933D.4060400@apache.org%3E
http://www.apache.org/dist/httpd/CHANGES_2.2.16
http://mail-archives.apache.org/mod_mbox/www-announce/201007.mbox/%3CAANLkTi=io5eq0PNY+EJ5poxOCF0wBZuqvYpdX4oZGXLJ@mail.gmail.com%3E
Журнал изменений: 20.01.2011
Незначительные изменения.

или введите имя

CAPTCHA