Säkerhetsbulletin från Debian

DSA-131-1 apache -- överbelastningsattack utifrån

Rapporterat den:

2002-06-19

Berörda paket:

Sårbara:

Referenser i säkerhetsdatabaser:

I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 5033.
I Mitres CVE-förteckning: CVE-2002-0392.
CERTs information om sårbarheter, bulletiner och incidenter: CA-2002-17, VU#944335.

Ytterligare information:

Mark Litchfield fann en överbelastningattack i webbservern Apache. När Apache Software undersökte problemet upptäcktes det att koden som hanterar ogiltiga anrop som sänds stötvis (eng. chunked encoding) också kan användas för att exekvera godtycklig kod på 64-bitarsarkitekturer.

Detta har rättats i version 1.3.9-14.1 av Debians apache-paket samt i uppströmsversion 1.3.26 och 2.0.37. Vi rekommenderar å det bestämdaste att ni uppgraderar era apache-paket omedelbart.

Paketuppgraderingen startar inte om Apacheservern automatiskt, utan detta måste göras manuellt. Se till att din konfiguration är riktig (”apachectl configtest” verifierar det åt dig) och starta om den med ”/etc/init.d/apache restart”

Rättat i:

Debian GNU/Linux 2.2 (potato)

Källkod:: http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9-14.1.diff.gz; http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9-14.1.dsc; http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9.orig.tar.gz
Arkitekturoberoende komponent:: http://security.debian.org/dists/stable/updates/main/binary-all/apache-doc_1.3.9-14.1_all.deb
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-common_1.3.9-14.1_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-dev_1.3.9-14.1_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/apache_1.3.9-14.1_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/apache-common_1.3.9-14.1_arm.deb; http://security.debian.org/dists/stable/updates/main/binary-arm/apache-dev_1.3.9-14.1_arm.deb; http://security.debian.org/dists/stable/updates/main/binary-arm/apache_1.3.9-14.1_arm.deb
Intel IA-32:: http://security.debian.org/dists/stable/updates/main/binary-i386/apache-common_1.3.9-14.1_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/apache-dev_1.3.9-14.1_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/apache_1.3.9-14.1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-common_1.3.9-14.1_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-dev_1.3.9-14.1_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/apache_1.3.9-14.1_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-common_1.3.9-14.1_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-dev_1.3.9-14.1_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache_1.3.9-14.1_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-common_1.3.9-14.1_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-dev_1.3.9-14.1_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/apache_1.3.9-14.1_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.