Alerta de Segurança Debian
DSA-187-1 apache -- várias vulnerabilidades
- Data do Alerta:
- 04 Nov 2002
- Pacotes Afetados:
- apache
- Vulnerável:
- Sim
- Referência à base de dados de segurança:
- Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 5847, ID BugTraq 5884, ID BugTraq 5887, ID BugTraq 2182, ID BugTraq 5995.
No dicionário CVE do Mitre: CVE-2002-0839, CVE-2002-0840, CVE-2002-0843, CVE-2001-0131, CVE-2002-1233. - Informações adicionais:
-
De acordo com David Wagner, iDEFENSE e o projeto Apache, várias vulnerabilidades exploradas remotamente foram encontradas no pacote Apache, um servidor web muito utilizado. Estas vulnerabilidades podem permitir que um atacante execute um ataque de negação de serviço ou cross scripting. O projeto Common Vulnerabilities and Exposures (CVE) identificou as seguintes vulnerabilidades:
- CAN-2002-0839: Uma vulnerabilidade existe em plataformas que usem memórias compartilhadas System V baseadas em pontuação. Esta vulnerabilidade permite que um atacante possa executar sobre o UID do Apache e explorar o formato de pontuação da memória compartilhada e enviar um sinal para qualquer processo como root ou cause um ataque local de negação de serviço.
- CAN-2002-0840: O Apache está suscetível a uma vulnerabilidade cross site scripting na página 404 padrão de qualquer servidor web em um domínio que permita procura no DNS através de coringas.
- CAN-2002-0843: Há alguns possíveis overflows no utilitário ApacheBench (ab) que pode ser explorado por um servidor malicioso.
- CAN-2002-1233: Uma condição de corrida nos programas htpasswd e htdigest possibilita que um usuário local malicioso leia ou até mesmo modifique o conteúdo de um arquivo de senhas ou facilmente crie e substitua arquivos como o usuário que está executando o programa htpasswd (ou o htdigest).
- CAN-2001-0131: O htpasswd e o htdigest no Apache 2.0a9, 1.3.14 e outros
permitem usuários locais a sobrescrever arquivos arbitrários através de um
atacante de links simbólicos.
Esta é a mesma vulnerabilidade do CAN-2002-1233, que foi corrigida na potato mas que depois se perdeu e nunca foi aplicada pelo autor.
- NO-CAN: Vários buffer overflows foram encontrados no utilitário ApacheBench (ab) que pode ser explorado por um servidor remoto que retorne muitas strings longas.
Estes problemas foram corrigidos na versão 1.3.26-0woody3 para a atual distribuição estável (woody) e na 1.3.9-14.3 para a antiga distribuição estável (potato). Pacotes corrigidos para a distribuição instável (sid) são aguardados para breve.
Nós recomendamos que você atualize seu pacotes Apache imediatamente.
- Corrigido em:
-
Debian GNU/Linux 2.2 (potato)
- Fonte:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.9-14.3.diff.gz
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.9-14.3.dsc
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.9.orig.tar.gz
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.9-14.3.dsc
- Componente independente de arquitetura:
- http://security.debian.org/pool/updates/main/a/apache/apache-doc_1.3.9-14.3_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.9-14.3_alpha.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.9-14.3_alpha.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.9-14.3_alpha.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.9-14.3_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.9-14.3_arm.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.9-14.3_arm.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.9-14.3_arm.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.9-14.3_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.9-14.3_i386.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.9-14.3_i386.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.9-14.3_i386.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.9-14.3_i386.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.9-14.3_m68k.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.9-14.3_m68k.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.9-14.3_m68k.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.9-14.3_m68k.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.9-14.3_powerpc.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.9-14.3_powerpc.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.9-14.3_powerpc.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.9-14.3_powerpc.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.9-14.3_sparc.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.9-14.3_sparc.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.9-14.3_sparc.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.9-14.3_sparc.deb
Debian GNU/Linux 3.0 (woody)
- Fonte:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3.diff.gz
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3.dsc
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26.orig.tar.gz
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3.dsc
- Componente independente de arquitetura:
- http://security.debian.org/pool/updates/main/a/apache/apache-doc_1.3.26-0woody3_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_alpha.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_alpha.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_alpha.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_arm.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_arm.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_arm.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_i386.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_i386.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_i386.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_ia64.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_ia64.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_ia64.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_ia64.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_hppa.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_hppa.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_hppa.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_m68k.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_m68k.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_m68k.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_mips.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_mips.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_mips.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_mipsel.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_mipsel.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_mipsel.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_powerpc.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_powerpc.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_powerpc.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_s390.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_s390.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_s390.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_sparc.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_sparc.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_sparc.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_sparc.deb
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.