Omitir navegación rápida

• Acerca de Debian
• Noticias
• Cómo obtener Debian
• Soporte
• Rincón de los desarrolladores
• Mapa del sitio
• Búsqueda

Aviso de seguridad de Debian

DSA-120-1 mod_ssl -- desbordamiento de búfer

Fecha del informe:

10 de mar de 2002

Paquetes afectados:

libapache-mod-ssl, apache-ssl

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2002-0082.

Información adicional:

Ed Moyle descubrió recientemente un desbordamiento de búfer en Apache-SSL y mod_ssl. Con la retención (caching) de sesión activada, mod_ssl serializará las variables de sesión SSL guardadas para uso futuro. Estas variables se guardaban en un búfer de tamaño fijo sin los chequeos de límites pertinentes.

Para explotar el desbordamiento, el servidor debe estar configurado para solicitar certificados al cliente, y el atacante debe obtener un certificado cuidadosamente modificado que haya sido firmada por una Autoridad Cerficadora en la que confíe el servidor. Si se cumplen estas condiciones, sería posible para un atacante ejecutar código arbitrario en el servidor.

Este problema ha sido arreglado en la versión 1.3.9.13-4 de Apache-SSL y en la versión 2.4.10-1.3.9-1potato1 de libapache-mod-ssl para la distribución estable de Debian, así como en la versión 1.3.23.1+1.47-1 de Apache-SSL y en la versión 2.8.7-1 de libapache-mod-ssl para las distribuciones testing e inestable de Debian.

Recomendamos que actualice sus paquetes Apache-SSL y mod_ssl.

Arreglado en:

Debian GNU/Linux 2.2 (potato)

Fuentes:

http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-4.diff.gz

http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-4.dsc

http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13.orig.tar.gz

http://security.debian.org/dists/stable/updates/main/source/libapache-mod-ssl_2.4.10-1.3.9-1potato1.diff.gz

http://security.debian.org/dists/stable/updates/main/source/libapache-mod-ssl_2.4.10-1.3.9-1potato1.dsc

http://security.debian.org/dists/stable/updates/main/source/libapache-mod-ssl_2.4.10-1.3.9.orig.tar.gz

Componentes independientes de la arquitectura:

http://security.debian.org/dists/stable/updates/main/binary-all/libapache-mod-ssl-doc_2.4.10-1.3.9-1potato1_all.deb

Alpha:

http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-ssl_1.3.9.13-4_alpha.deb

http://security.debian.org/dists/stable/updates/main/binary-alpha/libapache-mod-ssl_2.4.10-1.3.9-1potato1_alpha.deb

ARM:

http://security.debian.org/dists/stable/updates/main/binary-arm/apache-ssl_1.3.9.13-4_arm.deb

http://security.debian.org/dists/stable/updates/main/binary-arm/libapache-mod-ssl_2.4.10-1.3.9-1potato1_arm.deb

Intel ia32:

http://security.debian.org/dists/stable/updates/main/binary-i386/apache-ssl_1.3.9.13-4_i386.deb

http://security.debian.org/dists/stable/updates/main/binary-i386/libapache-mod-ssl_2.4.10-1.3.9-1potato1_i386.deb

Motorola 680x0:

http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-ssl_1.3.9.13-4_m68k.deb

http://security.debian.org/dists/stable/updates/main/binary-m68k/libapache-mod-ssl_2.4.10-1.3.9-1potato1_m68k.deb

PowerPC:

http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-ssl_1.3.9.13-4_powerpc.deb

http://security.debian.org/dists/stable/updates/main/binary-powerpc/libapache-mod-ssl_2.4.10-1.3.9-1potato1_powerpc.deb

Sun Sparc:

http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-ssl_1.3.9.13-4_sparc.deb

http://security.debian.org/dists/stable/updates/main/binary-sparc/libapache-mod-ssl_2.4.10-1.3.9-1potato1_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.

Esta página también está disponible en los siguientes idiomas:

dansk Deutsch English français 日本語 (Nihongo) Português svenska

Cómo modificar el idioma por defecto de los documentos