Информация по безопасности / 2011 / Информация о безопасности -- DSA-2202-1 apache2

Рекомендация Debian по безопасности

DSA-2202-1 apache2 -- ошибка сбрасывания прав суперпользователя

Дата сообщения:

23.03.2011

Затронутые пакеты:

apache2

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 618857.
В каталоге Mitre CVE: CVE-2011-1176.

Более подробная информация:

MPM_ITK является альтернативным модулем для множественной обработки для Apache HTTPD из Debian-пакета apache2.

В MPM_ITK была обнаружена ошибка грамматического разбора настроек. Если в настройках выставлена директива NiceValue, но директива AssignUserID не указана, то запросы будут обрабатываться от лица суперпользователя и его группы, а не от лица пользователя и группы Apache по умолчанию.

Эту проблема не касается оригинальной версии Apache HTTPD MPM, рабочего процесса и событиев.

Предыдущий стабильный выпуск (lenny) не подвержен данной проблеме.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 2.2.16-6+squeeze1.

В тестируемом (wheezy) и нестабильном (sid) выпусках эта проблема была исправлена в версии 2.2.17-2.

Если вы используете apache2-mpm-itk, то рекомендуется обновить пакеты apache2.