Debian dla-4270apache2 - 安全更新
critical Nessus 插件 ID 249166
语言:
简介
远程 Debian 主机上缺少一个或多个与安全相关的更新。描述
远程 Debian 11 主机上存在安装的程序包该程序包受到 dla-4270 公告中提及的多个漏洞的影响。- ------------------------------------------------- ------------------------ Debian LTS 公告 DLA-4270-1 [email protected] https://www.debian.org/lts/security/Bastien Roucaris 2025 年 8 月 12 日 https://wiki.debian.org/LTS
- -------------------------------------------------------------------------
程序包apache2 版本 2.4.65-1~deb11u1 CVE ID CVE-2024-42516 CVE-2024-43204 CVE-2024-43394 CVE-2024-47252 CVE-2025-23048 CVE-2025-49630 CVE-2025-49812 CVE-2025-53020 CVE-2025-54090
已解决广泛使用的 Web 服务器 Apache 中的多种漏洞。
请注意此 DLA 中包含的针对 CVE-2025-23048的补丁可能导致某些启用了 SSL 的网站遇到错误 AH02032。
此公告的末尾提供了其他详细信息。
CVE-2024-42516
Apache HTTP Server 核心中的 HTTP 响应拆分允许攻击者如果能够操纵由服务器托管或代理的应用程序的 Content-Type 响应头就可以拆分 HTTP 响应
CVE-2024-43204
在加载 mod_proxy 的 Apache HTTP Server 中发现一个 SSRF服务器端请求伪造允许攻击者向由攻击者控制的 URL 发送出站代理请求。
这种攻击需要不太可能的配置其中 mod_headers 被配置为使用 HTTP 请求中提供的值修改 Content-Type 请求或响应标头
CVE-2024-43394
Windows 上 Apache HTTP Server 中的服务器端请求伪造 (SSRF) 允许通过传递未经验证请求输入的 mod_rewrite 或 apache 表达式可能将 NTLM 哈希泄漏给恶意服务器。
CVE-2024-47252
在 mod_ssl 中不充分转义用户提供的数据允许不受信任的 SSL/TLS 客户端将转义字符插入到某些配置中的日志文件中。在日志记录配置中其中 CustomLog 与 %{varname}x 或 %{varname}c 一起使用以记录 mod_ssl 提供的变量例如 SSL_TLS_SNImod_log_config 或 mod_ssl 不执行转义并且客户端提供的未审查数据可能出现在日志文件中。
CVE-2025-23048
使用 TLS 1.3 会话恢复可能由受信任的客户端绕过访问控制。为多个虚拟主机配置 mod_ssl 时,配置会受到影响,其中每个虚拟主机都受到一组不同的受信任客户端证书(例如具有不同 SSLCACertificateFile/Path 设置)的限制。
在这种情况下如果未在任一虚拟主机中启用 SSLStrictSNIVHostCheck则受信任可以访问一个虚拟主机的客户端可能会访问另一个虚拟主机。
CVE-2025-49630
在某些代理配置中不受信任的客户端可触发针对 Apache HTTP Server 的拒绝服务攻击进而在 mod_proxy_http2 中造成断言。受影响的配置是为 HTTP/2 后端配置反向代理且 ProxyPreserveHost 设为 on。
CVE-2025-49812
在 Apache HTTP Server 上的某些 mod_ssl 配置中HTTP 去同步攻击允许中间人攻击者通过 TLS 升级劫持 HTTP 会话。仅使用 SSLEngine(可选)来启用 TLS 升级的配置会受到影响。
已删除对 TLS 升级的支持。
CVE-2025-53020
在 Apache HTTP Server 中发现在有效生命周期漏洞后延迟内存释放。
CVE-2025-54090
Apache HTTP Server 2.4.64 中的缺陷导致所有 RewriteCond expr ... 测试的评估结果为 true
对于 Debian 11 Bullseye这些问题已在 2.4.65-1~deb11u1 版本中修复。
请注意在解决 CVE-2025-23048后一些启用了 SSL 的网站可能开始遇到错误 (AH02032)
错误定向的请求
客户端针对此请求需要一个新的连接,因为请求的主机名与用于此连接的服务器名称指示 (SNI) 不匹配。
此行为在使用 AWS Application Load Balancer 时尤其明显。尽管它们支持智能 SNI 处理但截至撰写本文时它们并未将 SNI 数据中继到目标服务器这可在主机名不一致时导致连接失败。
如果没有客户端提供的 SNI则每当同一个 IP:port 上有多个 vhost 监听时httpd 就无法确定应该使用哪个 vhost/配置来提供正确的证书以及最终的 TLS 认证。
这是因为 HTTP 主机标头的读取一定要在 TLS 握手/认证/解密之后发生(TLSv1.3 无法提供更晚版本的重新协商选项)。
因此这些连接会回退到在 TLS 握手部分的 IP:port 上声明的第一个 vhost如果请求主机标头最终匹配具有不同 TLS 配置的不同 vhost则会遭到拒绝 AH02032。
在低于 2.4.64 的版本中检查不准确且允许这样做但存在安全隐患。
作为变通方案,您可以在风险分析后生成通配符证书。如果您要管理多个域,请通过将每个通配符域包含为一个别名,将这些域合并为一个证书。然后更新 Apache 配置以引用此统一证书。
另一个可能的变通方案是将每个虚拟主机配置为监听单独的端口。此方法通过确保每个 vhost 通过其自己的连接端点进行唯一寻址从而避免了与 SNI 相关的问题从而允许没有歧义的不同 TLS 配置。
此错误也可能源于错误的 HAProxy 设置。
在此类情况下,可能有必要在 HAProxy 上启用动态 SNI 处理,以确保在 TLS 握手期间传递正确的主机名。风险分析后认为可通过使用 sni req.hdr(Host) 指令来完成 。
我们建议您升级 apache2 程序包。
如需了解 apache2 的详细安全状态,请参阅其安全跟踪页面:
https://security-tracker.debian.org/tracker/apache2
有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息,请访问以下网址:https://wiki.debian.org/LTS
Tenable 已直接从 Debian 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级 apache2 程序包。另见
https://security-tracker.debian.org/tracker/source-package/apache2
https://security-tracker.debian.org/tracker/CVE-2024-42516
https://security-tracker.debian.org/tracker/CVE-2024-43204
https://security-tracker.debian.org/tracker/CVE-2024-43394
https://security-tracker.debian.org/tracker/CVE-2024-47252
https://security-tracker.debian.org/tracker/CVE-2025-23048
https://security-tracker.debian.org/tracker/CVE-2025-49630
https://security-tracker.debian.org/tracker/CVE-2025-49812
https://security-tracker.debian.org/tracker/CVE-2025-53020
插件详情
严重性: Critical
ID: 249166
文件名: debian_DLA-4270.nasl
版本: 1.1
类型: local
代理: unix
发布时间: 2025/8/12
最近更新时间: 2025/8/12
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.0
CVSS v2
风险因素: High
基本分数: 9.4
时间分数: 7
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N
CVSS 分数来源: CVE-2025-23048
CVSS v3
风险因素: Critical
基本分数: 9.1
时间分数: 7.9
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:apache2-bin, p-cpe:/a:debian:debian_linux:libapache2-mod-md, p-cpe:/a:debian:debian_linux:libapache2-mod-proxy-uwsgi, p-cpe:/a:debian:debian_linux:apache2-doc, p-cpe:/a:debian:debian_linux:apache2-suexec-custom, p-cpe:/a:debian:debian_linux:apache2, p-cpe:/a:debian:debian_linux:apache2-dev, p-cpe:/a:debian:debian_linux:apache2-data, p-cpe:/a:debian:debian_linux:apache2-suexec-pristine, p-cpe:/a:debian:debian_linux:apache2-utils, p-cpe:/a:debian:debian_linux:apache2-ssl-dev
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
易利用性: No known exploits are available
补丁发布日期: 2025/8/12
漏洞发布日期: 2025/7/8
参考资料信息
CVE: CVE-2024-42516, CVE-2024-43204, CVE-2024-43394, CVE-2024-47252, CVE-2025-23048, CVE-2025-49630, CVE-2025-49812, CVE-2025-53020, CVE-2025-54090
IAVA: 2025-A-0508-S, 2025-A-0547