FERRAMENTAS LINUX: Atualização de segurança do ArchLinux para corrigir vários problemas no Apache aviso ArchLinux: 202004-14

sexta-feira, 17 de abril de 2020

Atualização de segurança do ArchLinux para corrigir vários problemas no Apache aviso ArchLinux: 202004-14



Confiira !


O pacote apache anterior à versão 2.4.43-1 é vulnerável a vários problemas, incluindo divulgação de informações e redirecionamento aberto.
Comunicado de Segurança do Arch Linux ASA-202004-14
==========================================

Gravidade: baixa
Data: 2020-04-15
CVE-ID: CVE-2020-1927 CVE-2020-1934
Pacote: apache
Tipo: vários problemas
Remoto: Sim
Link: https://security.archlinux.org/AVG-1126

Sumário
=======

O pacote apache anterior à versão 2.4.43-1 é vulnerável a vários
problemas, incluindo divulgação de informações e redirecionamento aberto.

Resolução
==========

Atualize para 2.4.43-1.

# pacman -Syu "apache> = 2.4.43-1"

Os problemas foram corrigidos na versão 2.4.43.

Gambiarra
==========

Nenhum.

Descrição
===========

- CVE-2020-1927 (redirecionamento aberto)

Foi encontrado um problema de segurança no Apache HTTP Server de 2.4.0 até
e incluindo 2.4.41, no módulo mod_rewrite, onde redireciona esse
destinados a ser auto-referenciais podem ser enganados por códigos
novas linhas e redirecione para um URL inesperado dentro do
URL de solicitação.
Esse é o mesmo defeito do CVE-2019-10098. A correção para CVE-2019-10098
foi ineficaz.
Possíveis atenuações são o uso de capturas de âncoras como referências posteriores,
ou prefixando redirecionamentos auto-referenciais com / ou esquema, host e
porta.

- CVE-2020-1934 (divulgação de informações)

O uso de um valor não inicializado foi encontrado no Apache HTTP Server
do 2.4.0 até o 2.4.41 inclusive, no módulo mod_proxy_ftp,
ao fazer proxy de um servidor FTP malicioso.

Impacto
======

Um invasor remoto pode causar um redirecionamento por meio de um HTTP criado
solicitar ou divulgar informações ao fazer proxy de um servidor FTP.

Referências
==========

https://httpd.apache.org/security/vulnerabilities_24.html
https://seclists.org/oss-sec/2020/q2/3
https://seclists.org/oss-sec/2020/q2/4
https://svn.apache.org/viewvc/httpd/httpd/trunk/modules/proxy/mod_proxy_ftp.c?r1=1873745&r2=1873744&pathrev=1873745
https://security.archlinux.org/CVE-2020-1927
https://security.archlinux.org/CVE-2020-1934


Fonte

Até a próxima !!
Cezar Henrique at
Marcadores: Linux, Android, Segurança , , , ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)