Debian-Sicherheitsankündigung

DSA-188-1 apache-ssl -- Mehrere Verwundbarkeiten

Datum des Berichts:
05. Nov 2002
Betroffene Pakete:
apache-ssl
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 5847, BugTraq ID 5884, BugTraq ID 5887, BugTraq ID 5995.
In Mitres CVE-Verzeichnis: CVE-2002-0839, CVE-2002-0840, CVE-2002-0843, CVE-2001-0131, CVE-2002-1233.
Weitere Informationen:

Laut David Wagner, iDEFENSE und dem Apache HTTP-Server Projekt wurden mehrere entfernt ausnutzbare Verwundbarkeiten im Apache-Paket entdeckt, einem häufig verwendeten Webserver. Der meiste Sourcecode ist in den Apache und Apache-SSL Paketen gleich, daher sind auch die Verwundbarkeiten gleich. Diese Verwundbarkeiten könnten es einem Angreifer erlauben, eine Diensteverweigerung (Denial of Service) gegen einen Server zu verhängen oder Site-übergreifende Skripting-Angriffe durchzuführen, oder Cookies von anderen Website-Benutzern zu stehlen. Verwundbarkeiten in den enthaltenen Stammprogrammen htdigest, htpasswd und ApacheBench können ausgenutzt werden, wenn sie über CGI aufgerufen werden. Zusätzlich kann die unsichere Temporärdatei-Erstellung in htdigest und htpasswd ebenfalls lokal ausgenutzt werden. Das Common Vulnerabilities and Exposures (CVE)-Projekt identifiziert die folgenden Verwundbarkeiten:

  1. CAN-2002-0839: Eine Verwundbarkeit existiert auf Plattformen, die System V Shared Memory zur internen Kommunikation verwenden. Diese Verwundbarkeit erlaubt es einem Angreifer, Programme mit der Apache-UID auszuführen, um das Apache Shared Memory Kommunikationsbrett-Format auszunutzen und ein Signal an jeden Prozess als root zu senden oder einen lokalen Diensteverweigerungs- (Denial of Service-)Angriff durchzuführen.
  2. CAN-2002-0840: Apache ist mit der Standard-404-Seite für eine Site-übergreifende Skripting-Verwundbarkeit auf jedem Web-Server anfällig, der auf einer Domain mit Wildcard DNS-Abfragen aufgesetzt ist.
  3. CAN-2002-0843: Es gab einige mögliche Überläufe im Werkzeug ApacheBench (ab), die von einem böswilligen Server ausgenutzt werden konnten.
  4. CAN-2002-1233: Ein Problem bei der Ausführung der htpasswd und htdigest Programme ermöglicht es einem böswilligen lokalen Benutzer, den Inhalt einer Passwort-Datei zu lesen oder sogar zu modifizieren, oder einfach Dateien als der Benutzer zu erstellen und überschreiben, der das htpasswd (oder entsprechend das htdigest) Programm verwendet. (Die Programme sind jedoch nicht im apache-ssl-Paket enthalten)
  5. CAN-2001-0131: htpasswd und htdigest in Apache 2.0a9, 1.3.14 und weiteren erlaubt es lokalen Benutzern, willkürliche Dateien mittels eines Symlink-Angriff zu überschreiben.

    Dies ist die selbe Verwundbarkeit wie CAN-2002-1233, die bereits in Potato behoben wurde, aber später verloren gegangen ist und niemals in Upstream eingebracht wurde. (Die Programme sind jedoch nicht im apache-ssl-Paket enthalten)

  6. NO-CAN: Mehrere Pufferüberläufe wurden im ApacheBench (ab) Werkzeug entdeckt, die von einem entfernten Server ausgenutzt werden könnten, indem er eine sehr lange Zeichenkette zurückliefert. (Das Programm ist jedoch nicht im apache-ssl-Paket enthalten)

Diese Probleme wurden in Version 1.3.26.1+1.48-0woody3 für die aktuelle stable Distribution (Woody) und in Version 1.3.9.13-4.2 für die alte stable Distribution (Potato) behoben. Reparierte Pakete für die unstable Distribution (Sid) werden bald erwartet.

Wir empfehlen Ihnen, Ihr Apache-SSL Paket unverzüglich zu aktualisieren.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13-4.2.dsc
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13-4.2.diff.gz
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13-4.2_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13-4.2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13-4.2_i386.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13-4.2_m68k.deb
PowerPC:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13-4.2_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13-4.2_sparc.deb

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3.dsc
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3.diff.gz
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_ia64.deb
HP Precision:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.