Pular "Quicknav"

• Sobre o Debian
• Notícias
• Obtendo o Debian
• Suporte
• Canto dos Desenvolvedores
• Mapa do site
• Busca

Alerta de Segurança Debian

DSA-120-1 mod_ssl -- buffer overflow

Data do Alerta:

10 Mar 2002

Pacotes Afetados:

libapache-mod-ssl, apache-ssl

Vulnerável:

Sim

Referência à base de dados de segurança:

No dicionário CVE do Mitre: CVE-2002-0082.

Informações adicionais:

Ed Moyle achou um buffer overflow no Apache-SSL e mod_ssl recentemente. Com o "session caching" ativado, mod_ssl colocará em série variáveis de sessão SSL para usá-las posteriormente. Essas variáveis foram armazenadas em um buffer de tamanho fixo sem a checagem apropriada do limite do buffer.

Para explorar o overflow, o servidor deve estar configurado para requerer certificados do cliente, e um invasor deve obter um certificado do cliente cuidadosamente elaborado por ele que tenha sido assinado por uma Autoridade de Certificão que o servidor confie. Se ocorrerem essas duas coisas condições, é possível que um invasor execute códigos arbitrários no servidor.

Esse problema foi consertado na versão 1.3.9.13-4 do Apache-SSL e versão 2.4.10-1.3.9-1potato1 do libapache-mod-ssl para a distribuição estável do Debian assim como na versão 1.3.23.1+1.47-1 do Apache-SSL e versão 2.8.7-1 do libapache-mod-ssl para a distribuição instável e testing do Debian.

Nós recomendamos que você faça a atualização dos seus pacotes Apache-SSL e mod_ssl.

Corrigido em:

Debian GNU/Linux 2.2 (potato)

Fonte:

http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-4.diff.gz

http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-4.dsc

http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13.orig.tar.gz

http://security.debian.org/dists/stable/updates/main/source/libapache-mod-ssl_2.4.10-1.3.9-1potato1.diff.gz

http://security.debian.org/dists/stable/updates/main/source/libapache-mod-ssl_2.4.10-1.3.9-1potato1.dsc

http://security.debian.org/dists/stable/updates/main/source/libapache-mod-ssl_2.4.10-1.3.9.orig.tar.gz

Componente independente de arquitetura:

http://security.debian.org/dists/stable/updates/main/binary-all/libapache-mod-ssl-doc_2.4.10-1.3.9-1potato1_all.deb

Alpha:

http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-ssl_1.3.9.13-4_alpha.deb

http://security.debian.org/dists/stable/updates/main/binary-alpha/libapache-mod-ssl_2.4.10-1.3.9-1potato1_alpha.deb

ARM:

http://security.debian.org/dists/stable/updates/main/binary-arm/apache-ssl_1.3.9.13-4_arm.deb

http://security.debian.org/dists/stable/updates/main/binary-arm/libapache-mod-ssl_2.4.10-1.3.9-1potato1_arm.deb

Intel ia32:

http://security.debian.org/dists/stable/updates/main/binary-i386/apache-ssl_1.3.9.13-4_i386.deb

http://security.debian.org/dists/stable/updates/main/binary-i386/libapache-mod-ssl_2.4.10-1.3.9-1potato1_i386.deb

Motorola 680x0:

http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-ssl_1.3.9.13-4_m68k.deb

http://security.debian.org/dists/stable/updates/main/binary-m68k/libapache-mod-ssl_2.4.10-1.3.9-1potato1_m68k.deb

PowerPC:

http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-ssl_1.3.9.13-4_powerpc.deb

http://security.debian.org/dists/stable/updates/main/binary-powerpc/libapache-mod-ssl_2.4.10-1.3.9-1potato1_powerpc.deb

Sun Sparc:

http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-ssl_1.3.9.13-4_sparc.deb

http://security.debian.org/dists/stable/updates/main/binary-sparc/libapache-mod-ssl_2.4.10-1.3.9-1potato1_sparc.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.

Esta página também está disponível nos seguintes idiomas:

dansk Deutsch English español français 日本語 (Nihongo) svenska

Como configurar o idioma padrão dos documentos