FERRAMENTAS LINUX: Atualização de segurança do Mageia para o apache, aviso Mageia 2020-0327

terça-feira, 18 de agosto de 2020

Atualização de segurança do Mageia para o apache, aviso Mageia 2020-0327



Confira !!



Servidor Apache HTTP versões 2.4.20 a 2.4.43. Um valor especialmente criado para o cabeçalho 'Cache-Digest' em uma solicitação HTTP / 2 resultaria em uma falha quando o servidor realmente tentasse HTTP / 2 PUSH um recurso posteriormente. Configurar o recurso HTTP / 2 por meio de "H2Push off" atenuará essa vulnerabilidade para servidores sem patch (CVE-2020-9490).
MGASA-2020-0327 - Pacotes apache atualizados corrigem vulnerabilidade de segurança

Data de publicação: 18 de agosto de 2020
URL: https://advisories.mageia.org/MGASA-2020-0327.html
Tipo: segurança
Lançamentos afetados da Mageia: 7
CVE: CVE-2020-9490,
     CVE-2020-11984,
     CVE-2020-11993

Servidor Apache HTTP versões 2.4.20 a 2.4.43. Um valor especialmente criado para o
O cabeçalho 'Cache-Digest' em uma solicitação HTTP / 2 resultaria em uma falha quando o
na verdade, o servidor tenta HTTP / 2 PUSH um recurso posteriormente. Configurando o
O recurso HTTP / 2 via "H2Push off" atenuará essa vulnerabilidade para
servidores (CVE-2020-9490).

Divulgação de informações do servidor Apache HTTP 2.4.32 a 2.4.44 mod_proxy_uwsgi e
possível execução remota de código (CVE-2020-11984).

Apache HTTP Server versões 2.4.20 a 2.4.43 Quando o rastreamento / depuração foi habilitado para
o módulo HTTP / 2 e em certos padrões de borda de tráfego, as instruções de registro foram
feito na conexão errada, causando o uso simultâneo de pools de memória.
Configurar o LogLevel de mod_http2 acima de "info" irá mitigar isso
vulnerabilidade para servidores sem patch (CVE-2020-11993).

O pacote apache foi atualizado para a versão 2.4.46, corrigindo esses problemas e
outros bugs. Consulte o arquivo CHANGES upstream para obter detalhes.

Referências:
- https://bugs.mageia.org/show_bug.cgi?id=27058
- https://httpd.apache.org/security/vulnerabilities_24.html#2.4.44
- https://downloads.apache.org/httpd/CHANGES_2.4.46
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9490
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11984
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11993

SRPMS:
- 7 / core / apache-2.4.46-1.mga7


Fonte

Até a próxima !

Nenhum comentário:

Postar um comentário