—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgende Warnung des Debian-Teams. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2010-1452 – Schwachstelle in den Apache Modulen mod_cache und
mod_dav

In den Apache Modulen mod_cache und mod_dav werden Requests ohne
Pfadangaben nicht richtig behandelt. Ein entfernter Angreifer kann mit
Hilfe einer entsprechend manipulierten Anfrage einen httpd-Kindprozess
zum Absturz bringen und damit einen Denial of Service ausloesen.

CVE-2011-3192 – Denial of Service-Schwachstelle in Apache

Im Apache HTTP Server Version 1.3.x bzw. 2.0.x bis 2.0.64 und 2.2.x bis
Version 2.2.10 besteht ein Fehler bei der Verarbeitung des HTTP-Header
Feldes “Range”, mit dem Teile eines Dokumentes vom Webserver angefordert
werden koennen. Ein entfernter Angreifer kann dies ausnutzen, um durch
Senden verschiedener Werte fuer das Range-Feld, die sich ueberschneiden
und in einer unsortierten Reihenfolge abgeschickt werden, eine sehr hohe
Speicher- und CPU-Auslastung erzeugen, welche den Webserver zum Absturz
oder zum Stillstand bringen kann.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket apache2 in Debian GNU/Linux 5.0 (lenny) vor Version
2.2.9-10+lenny10
Paket apache2 in Debian GNU/Linux 6.0 (squeeze) vor Version
2.2.16-6+squeeze2
Paket apache2 in Debian GNU/Linux unstable (sid) vor Version 2.2.19-2
Fuer Pakete in Debian GNU/Linux 7.0 (wheezy) werden Patches
nachgereicht

Debian GNU/Linux 5.0 (lenny)
Debian GNU/Linux 6.0 (squeeze)
Debian GNU/Linux 7.0 (wheezy)
Debian GNU/Linux unstable (sid)

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Matthias Braeck

– —
Matthias Braeck (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn

– —–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

– – ————————————————————————-
Debian Security Advisory DSA-2298-1 security@debian.org
http://www.debian.org/security/ Stefan Fritsch
August 29, 2011 http://www.debian.org/security/faq
– – ————————————————————————-

Package : apache2
Vulnerability : denial of service
Problem type : remote
Debian-specific: no
CVE ID : CVE-2010-1452 CVE-2011-3192

Two issues have been found in the Apache HTTPD web server:

CVE-2011-3192

A vulnerability has been found in the way the multiple overlapping
ranges are handled by the Apache HTTPD server. This vulnerability
allows an attacker to cause Apache HTTPD to use an excessive amount of
memory, causing a denial of service.

CVE-2010-1452

A vulnerability has been found in mod_dav that allows an attacker to
cause a daemon crash, causing a denial of service. This issue only
affects the Debian 5.0 oldstable/lenny distribution.

For the oldstable distribution (lenny), these problems have been fixed
in version 2.2.9-10+lenny10.

For the stable distribution (squeeze), this problem has been fixed in
version 2.2.16-6+squeeze2.

For the testing distribution (wheezy), this problem will be fixed soon.

For the unstable distribution (sid), this problem has been fixed in
version 2.2.19-2.

We recommend that you upgrade your apache2 packages.

This update also contains updated apache2-mpm-itk packages which have
been recompiled against the updated apache2 packages. The new version
number for the oldstable distribution is 2.2.6-02-1+lenny5. In the
stable distribution, apache2-mpm-itk has the same version number as
apache2.

Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: http://www.debian.org/security/

Mailing list: debian-security-announce@lists.debian.org
– —–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.11 (GNU/Linux)

iD8DBQFOW/+Mbxelr8HyTqQRAn+CAJ9s4JT+blC4eMB2rKEB1dLjtiA1+wCgvJDp
/oid/eRrQ5zmnSp+KQ0R+Cs=
=Svdo
– —–END PGP SIGNATURE—–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.16 (GNU/Linux)

iQEcBAEBAgAGBQJOXKkAAAoJEJtyb8U7iGZBdZEIAIhmcRIKDB+KXqHa+ndL9aNK
Kh8Un7B1LJ5x1WJ8FRtdMvCnXamMMkc+jnPxZj2Yvs8X2CkqTRGn4MaaB8qk3UaC
wWBohnBpxKE6WeP0lF4vCV9ZEjuVqzZHHMWmvYzLfYaeI8LfgQixL5Irp0OJXw+V
6oaImlLKBtjEpaO11j9eOowVyDINktlWBsmlfPzZP2MgMIfNZVqAhZm5wSsa+RbN
SswvCtE0/YJcIg2PDJVI8ssEPaeY6k8CiJlGVUMrh7dR3E7GkOXQ/PMTres16AS8
/hHrs36dmf16xenNUgn5i8dEY5jxtNvxH5oqJngbRZ8QjjYm7SlYsi+THImTmlA=
=tquy
—–END PGP SIGNATURE—–