Säkerhetsbulletin från Debian
DSA-187-1 apache -- flera sårbarheter
- Rapporterat den:
- 2002-11-04
- Berörda paket:
- apache
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 5847, BugTraq-id 5884, BugTraq-id 5887, BugTraq-id 2182, BugTraq-id 5995.
I Mitres CVE-förteckning: CVE-2002-0839, CVE-2002-0840, CVE-2002-0843, CVE-2001-0131, CVE-2002-1233. - Ytterligare information:
-
Enligt David Wagner från iDEFENSE och Apache-webbserverprojektet har flera utifrån nåbara sårbarheter upptäckts i Apachepaketet, en ofta använd webbserver. Dessa sårbarheter gör det möjligt för en angripare att utföra ett överbelastningsangrepp mot en server eller utföra ett serveröverskridande skriptangrepp. Projektet ”Common Vulnerabilities and Exposures” (CVE) identifierade följande sårbarheter:
- CAN-2002-0839: En sårbarhet förekommer på plattformar som använder ”scoreboards” baserat på System V-delat minne. Denna sårbarhet gör det möjligt för en angripare att köra program under Apaches användar-id för att utnyttja Apaches ”scoreboard”-format i delat minne för att sända en signal till godtycklig process som root eller utföra ett lokalt överbelastningsangrepp.
- CAN-2002-0840: Apache kan är mottaglig för en serveröverskridande skriptsårbarhet i standard-404-filen på alla webbservrar som står värd för en domän som tillåter DNS-uppslagningar med jokertecken.
- CAN-2002-0843: Det fanns några möjliga spill i verktygsprogrammet ApacheBench (ab) som kunde utnyttjas av en illvillig server.
- CAN-2002-1233: En kapplöpningseffekt i htpasswd- och htdigestprogrammen gör det möjligt för en illvillig lokal användare att läsa och till och med modifiera innehållet i en lösenordsfil eller att lätt skapa och skriva över filer som användaren som kör htpasswd- respektive htdigestprogrammet.
-
CAN-2001-0131:
htpasswd och htdigest i Apache 2.0a9, 1.3.14 med flera tillåter lokala
användare att skriva över godtyckliga filer genom att angripa symboliska
länkar.
Detta är samma sårbarhet som CAN-2002-1233, vilken redan rättats i Potato, men som senare försvann och aldrig applicerades uppströms.
- CAN saknas: Flera buffertspill har upptäckts i verktygsprogrammet ApacheBench (ab) vilka kunde utnyttjas av en fjärrserver som returnerar väldigt långa textsträngar.
Dessa problem har rättats i version 1.3.26-0woody3 gör den nuvarande stabila utgåvan (Woody) samt i 1.3.9-14.3 för den gamla stabila utgåvan (Potato). Rättade paket för den instabila utgåvan (Sid) förväntas inom kort.
Vi rekommenderar att ni uppgraderar ert Apache-paket omedelbart.
- Rättat i:
-
Debian GNU/Linux 2.2 (potato)
- Källkod:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.9-14.3.diff.gz
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.9-14.3.dsc
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.9.orig.tar.gz
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.9-14.3.dsc
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/a/apache/apache-doc_1.3.9-14.3_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.9-14.3_alpha.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.9-14.3_alpha.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.9-14.3_alpha.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.9-14.3_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.9-14.3_arm.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.9-14.3_arm.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.9-14.3_arm.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.9-14.3_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.9-14.3_i386.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.9-14.3_i386.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.9-14.3_i386.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.9-14.3_i386.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.9-14.3_m68k.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.9-14.3_m68k.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.9-14.3_m68k.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.9-14.3_m68k.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.9-14.3_powerpc.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.9-14.3_powerpc.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.9-14.3_powerpc.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.9-14.3_powerpc.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.9-14.3_sparc.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.9-14.3_sparc.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.9-14.3_sparc.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.9-14.3_sparc.deb
Debian GNU/Linux 3.0 (woody)
- Källkod:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3.diff.gz
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3.dsc
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26.orig.tar.gz
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3.dsc
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/a/apache/apache-doc_1.3.26-0woody3_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_alpha.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_alpha.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_alpha.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_arm.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_arm.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_arm.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_i386.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_i386.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_i386.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_ia64.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_ia64.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_ia64.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_ia64.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_hppa.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_hppa.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_hppa.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_m68k.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_m68k.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_m68k.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_mips.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_mips.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_mips.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_mipsel.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_mipsel.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_mipsel.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_powerpc.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_powerpc.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_powerpc.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_s390.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_s390.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_s390.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_sparc.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_sparc.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_sparc.deb
- http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.