Bug 8890

Summary: [UPDATE REQUEST 2016.1] apache 2.4.33
Product: [ROSA-based products] ROSA Fresh Reporter: Алзим <alzim>
Component: Packages from MainAssignee: ROSA Linux Bugs <bugs>
Status: VERIFIED FIXED QA Contact: ROSA Linux Bugs <bugs>
Severity: normal    
Priority: Normal CC: andrey.bondrov, s.savelyeva, v.potapov
Version: FreshFlags: v.potapov: qa_verified+
andrey.bondrov: published+
Target Milestone: ---   
Hardware: All   
OS: Linux   
Whiteboard:
Platform: --- ROSA Vulnerability identifier:
RPM Package: ISO-related:
Bad POT generating: Upstream:
Attachments: sc1 gui
sc2 console
sc3 console

Description Алзим 2018-03-28 15:13:16 MSK
Состоялся релиз HTTP-сервера Apache 2.4.33, в котором представлено 55 изменений, в том числе устранено 7 неопасных уязвимостей, большинство из которых может привести к краху рабочего процесса при обработке определённых запросов. Выпуски 2.4.30, 2.4.31 и 2.4.32 были отменены, следом за 2.4.29 сразу опубликован релиз 2.4.33.

Исправленные уязвимости:
CVE-2018-1283 - возможность переопределения содержимого передавамой CGI-скрипту переменной окружения "HTTP_SESSION" через отправку HTTP-заголовка "Session" (в скрипт поступают контролируемые пользователем данные из заголовка "Session" вместо данных от mod_session). Проблема проявляется только в конфигурациях с включенной опцией "SessionEnv on", которая не активна по умолчанию;
CVE-2017-15710 - запись за пределы буфера при обработке в mod_authnz_ldap специально оформленных данных, переданных через заголовок Accept-Language. Уязвимость проявляется при активности настройки AuthLDAPCharsetConfig и позволяет инициировать крах рабочего процесса;
CVE-2018-1303 - ошибка в коде разбора HTTP-заголовков в mod_cache_socache может привести к краху рабочего процесса из-за попытки чтения из области за пределами буфера;
CVE-2018-1301 - крах при обработке очень больших HTTP-заголовков. Практическая возможность эксплуатации уязвимости отмечается только в системах с включенным при сборке режимом отладки и отладочным уровнем логов (LogLevel);
CVE-2017-15715 - по умолчанию движок регулярных выражений в блоках FilesMatch при указании '$' привязывал окончание строки к символу перевода строки, а не к концу полной строки с именем файла (символ перевода строки мог использоваться для скрытия хвоста имени файла от проверки регулярным выражением). В новом выпуске символ '$' в FilesMatch всегда охватывает всё имя файла, но данной поведение можно изменить при помощи директивы 'RegexDefaultOptions';
CVE-2018-1312 - генерация ненадёжных векторов инициализации (nonce) в mod_auth_digest, которая могла привести к осуществлению атак, основанных на повторном использовании вектора инициализации (Replay attack), на серверах с типовым доменом Digest;
CVE-2018-1302 - крах рабочего процесса при обрыве потока HTTP/2 при определённом стечении обстоятельств. Проблема достаточно трудна в эксплуатации и воспроизводима только в отладочных сборках.

Из изменений можно отметить:
В состав добавлен новый экспериментальный модуль mod_md, разработанный проектом Let's Encrypt для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment). При помощи mod_md можно упростить процесс сопровождения сертификатов на серверах с большим числом сайтов или в системах массового хостинга. При наличии mod_md пользователям не нужно заботиться об обновлении сертификатов, модуль сам получит необходимые сертификаты в сервисе Let’s Encrypt при первом запуске, организует их загрузку в mod_ssl (указание директив SSLCertificate* не требуется) и периодически будет обновлять сертификаты при приближении к истечению срока действия;
В mod_ssl добавлена возможность извлечения значений SSL DN в неизменном виде, без конвертации в UTF-8. Подобные значения сохраняются в переменные, заканчивающиеся на "_RAW";
В mod_proxy_fcgi добавлена поддержка параметров flushwait и flushpackets, управляющих сбросом выходного буфера;
В mod_proxy обеспечена возможность передачи настроек для глобально определённого балансировщика нагрузки через блок ProxyPass в секции VirtualHost;
В mod_remoteip добавлена поддержка протокола PROXY;
В mod_proxy и mod_ssl реализована возможность определения своих конфигураций TLS для разных бэкендов через директивы SSLProxy* в секции Proxy;
В mod_proxy_uwsgi представлен субмодуль с реализацией UWSGI-прокси;
В mod_proxy_balancer и mod_slotmem_shm переработан код для повторного использования и удаления данных в разделяемой памяти;
В mod_rewrite обеспечено добавление заголовка Vary, если результат условной операции равен истине и соответствующий RewriteRule задействован в контексте Directory (приводит ко внутреннему редиректу);
В mod_proxy_html обеспечено игнорирование документов, размером меньше 4 байт, и представлен тип документа (doctype) для HTML 5.
Comment 1 Алзим 2018-03-28 15:16:02 MSK
Updated to 2.4.33
https://abf.io/build_lists/2923743
https://abf.io/build_lists/2923744
Comment 2 s.savelyeva 2018-03-29 13:37:43 MSK
it works
Comment 3 s.savelyeva 2018-03-29 13:41:23 MSK
but I forgot one thing!
when installing phpmyadmin by GUI with this new apache it's not installed!
by console - it warns of problems with dependencies, but it's possible to install (and after that phpmyadmin looks ok)


if phpmyadmin installed before updating apache - no problem then
Comment 4 s.savelyeva 2018-03-29 13:42:25 MSK
Created attachment 4843 [details]
sc1 gui
Comment 5 s.savelyeva 2018-03-29 13:43:01 MSK
Created attachment 4844 [details]
sc2 console
Comment 6 s.savelyeva 2018-03-29 13:43:29 MSK
Created attachment 4845 [details]
sc3 console
Comment 7 Алзим 2018-04-01 02:39:12 MSK
(In reply to comment #3)
> but I forgot one thing!
> when installing phpmyadmin by GUI with this new apache it's not installed!
> by console - it warns of problems with dependencies, but it's possible to
> install (and after that phpmyadmin looks ok)
> 
> 
> if phpmyadmin installed before updating apache - no problem then

Всё правильно пишет. apache-mod_php конфликтует с apache-mpm-event 
https://abf.io/import/php/blob/rosa2016.1/php.spec#lc-196 https://abf.io/import/apache/blob/rosa2016.1/apache.spec#lc-200
При установке сервера Апач, он ставиться без apache-mpm-event. 
должно быть что-то одно: или apache-mod_php, или apache-mpm-event.
urpmi task-lamp — всё должно установиться нормально.
Comment 8 Vladimir Potapov 2018-04-03 08:57:55 MSK
The update is sent to expanded testing
*****************************************
Comment 9 Vladimir Potapov 2018-04-03 11:52:39 MSK
apache-2.4.33-1
https://abf.io/build_lists/2923743
https://abf.io/build_lists/2923744
********************************* Advisory ***************************
Updated to 2.4.33
**********************************************************************
QA Verified