Bug 38326 - 2.4.43 (CVE-2020-1927, CVE-2020-1934)
Summary: 2.4.43 (CVE-2020-1927, CVE-2020-1934)
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: apache2 (show other bugs)
Version: unstable
Hardware: all Linux
: P5 normal
Assignee: Anton Farygin
QA Contact: qa-sisyphus
URL: http://www.opennet.ru/opennews/art.sh...
Keywords: security
Depends on:
Blocks:
 
Reported: 2020-04-05 13:52 MSK by Michael Shigorin
Modified: 2020-04-06 11:42 MSK (History)
1 user (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Michael Shigorin 2020-04-05 13:52:46 MSK 
Пишут, что:

---
Опубликован релиз HTTP-сервера Apache 2.4.43 (выпуск 2.4.42 был пропущен), в котором представлено 34 изменения и устранено 3 уязвимости:

    CVE-2020-1927: уявзимость в mod_rewrite, позволяющая использовать сервер для проброса обращений на другие ресурсы (open redirect). Некоторые настройки mod_rewrite могут привести к пробросу пользователя на другую ссылку, закодированную с использованием символа перевода строки внутри параметра, используемого в существующим редиректе.
    CVE-2020-1934: уязвимость в mod_proxy_ftp. Использование неинициализированных значений может привести к утечке содержимого памяти при проксировании запросов к FTP-серверу, подконтрольному злоумышленнику.
    Утечка памяти в mod_ssl, возникающая при скреплении запросов OCSP. 
---
Comment 1 Anton Farygin 2020-04-06 09:03:10 MSK 
Спасибо, я знаю.
Comment 2 Anton Farygin 2020-04-06 11:42:25 MSK 
в sisyphus.