Jako że ostatnia wersja Apache a dokłądnie wersja 2.4.39 łata 3 poważne luki bezpieczeństwa w serwerze www Apache2, udostępniam Wam, gotowe paczki dla Debiana 8 Apache2 w wersji 2.4.39
Oto krótkie opisy znalezionych luk bezieczeństwa:
CVE-2019-0211 lub CARPE DIEM
Krytyczna luka do jak najszybszego załatania to CVE-2019-0211. Luka została odkryta i zgłoszona do Apache przez badacza Charlesa Fola, inżyniera bezpieczeństwa w Ambionics Security.
CVE-2019-0217
Simon Kappel, badacz bezpieczeństwa w Apache, z kolei znalazł lukę CVE-2019-0217, która również została uznana za ważną i naprawioną w wersji 2.4.39.
W wersji 2.4.38 i wcześniejszych, wyścig w mod_auth_digest, który pojawiał się przy pracy serwera w trybie wielowątkowym, pozwalał użytkownikowi z prawidłowymi danymi logowania na autentykację, używając innej nazwy użytkownika, tym samym omijając ustawienia kontroli dostępu, Kappel ostrzega w oficjalnym poradniku.
CVE-2019-0215
Trzecią krytyczną luką załataną w aktualizacji Apache 2.4.39 jest CVE-2019-0215, która jest wadą obejścia kontroli dostępu SSL. Moduł mod_SSL w Apache jest odpowiedzialny za obsługę szyfrowania SSL / TLS (Secure Sockets Library / Transport Layer Security). Według Apache błąd CVE-2019-0215 mógł potencjalnie umożliwić osobie atakującej obejście ograniczeń kontroli dostępu.
Dlaczego warto wykonać aktualizację ?
Chociaż nie jest to luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu (RCE), zapewnia ona atakującym możliwość wykonywania działań, których większość dostawców hostingu unika. Dostawcy powinny rozważyć zastosowanie poprawki Apache jak najszybciej. A jeśli hostują swoje witryny we współdzielonym hostingu, które są najbardziej zagrożone, powinno wpłynąć na swoich dostawców, aby zaktualizowali tak szybko, jak to możliwe, lub rozważyć przejście na innego dostawcę, lub platformę. – Piszę Bob Rudis, Chief Security Data Scientist w Rapid7.
Skompilowane paczki dostępne są pod adresem: http://kompilacje.linuxiarz.pl/Debian_8/apache2_2-4-39-linuxiarz.pl/
Instalacja:
cd /tmp/ wget http://kompilacje.linuxiarz.pl/Debian_8/apache2_2-4-39-linuxiarz.pl/apache2_2.4.39-1-linuxiarz.pl_amd64.deb wget http://kompilacje.linuxiarz.pl/Debian_8/apache2_2-4-39-linuxiarz.pl/apache2-data_2.4.39-1-linuxiarz.pl_all.deb wget http://kompilacje.linuxiarz.pl/Debian_8/apache2_2-4-39-linuxiarz.pl/apache2-bin_2.4.39-1-linuxiarz.pl_amd64.deb wget http://kompilacje.linuxiarz.pl/Debian_8/apache2_2-4-39-linuxiarz.pl/apache2-utils_2.4.39-1-linuxiarz.pl_amd64.deb sudo dpkg -i apache2*.deb
Miłego updatowania! 😉