Bug 38326

Summary: 2.4.43 (CVE-2020-1927, CVE-2020-1934)
Product: Sisyphus Reporter: Michael Shigorin <mike>
Component: apache2Assignee: Anton Farygin <rider>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: normal    
Priority: P5 CC: rider
Version: unstableKeywords: security
Hardware: all   
OS: Linux   
URL: http://www.opennet.ru/opennews/art.shtml?num=52676

Description Michael Shigorin 2020-04-05 13:52:46 MSK
Пишут, что:

---
Опубликован релиз HTTP-сервера Apache 2.4.43 (выпуск 2.4.42 был пропущен), в котором представлено 34 изменения и устранено 3 уязвимости:

    CVE-2020-1927: уявзимость в mod_rewrite, позволяющая использовать сервер для проброса обращений на другие ресурсы (open redirect). Некоторые настройки mod_rewrite могут привести к пробросу пользователя на другую ссылку, закодированную с использованием символа перевода строки внутри параметра, используемого в существующим редиректе.
    CVE-2020-1934: уязвимость в mod_proxy_ftp. Использование неинициализированных значений может привести к утечке содержимого памяти при проксировании запросов к FTP-серверу, подконтрольному злоумышленнику.
    Утечка памяти в mod_ssl, возникающая при скреплении запросов OCSP. 
---
Comment 1 Anton Farygin 2020-04-06 09:03:10 MSK
Спасибо, я знаю.
Comment 2 Anton Farygin 2020-04-06 11:42:25 MSK
в sisyphus.