Säkerhetsbulletin från Debian

DSA-188-1 apache-ssl -- flera sårbarheter

Rapporterat den:
2002-11-05
Berörda paket:
apache-ssl
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 5847, BugTraq-id 5884, BugTraq-id 5887, BugTraq-id 5995.
I Mitres CVE-förteckning: CVE-2002-0839, CVE-2002-0840, CVE-2002-0843, CVE-2001-0131, CVE-2002-1233.
Ytterligare information:

Enligt David Wagner från iDEFENSE och Apache-webbserverprojektet har flera utifrån nåbara sårbarheter upptäckts i Apachepaketet, en ofta använd webbserver. Större delen av denna kod delas mellan paketen Apache och Apache-SSL, vilket gör att även sårbarheter förekommer i bägge. Dessa sårbarheter gör det möjligt för en angripare att utföra ett överbelastningsangrepp mot en server eller utföra ett serveröverskridande skriptangrepp eller stjäla kakor från andra användare av webbplatsen. Sårbarheter i de ärvda programmen htdigest, htpasswd och ApacheBench kan utnyttjas när de anropas via CGI. Dessutom kan problemen med osäkert skapande av temporära filer i htdigest och htpasswd även utnyttjas lokalt. Projektet ”Common Vulnerabilities and Exposures” (CVE) identifierade följande sårbarheter:

  1. CAN-2002-0839: En sårbarhet förekommer på plattformar som använder ”scoreboards” baserat på System V-delat minne. Denna sårbarhet gör det möjligt för en angripare att köra program under Apaches användar-id att utnyttja Apaches ”scoreboard”-format i delat minne för att sända en signal till godtycklig process som root eller utföra ett lokalt överbelastningsangrepp.
  2. CAN-2002-0840: Apache kan är mottaglig för en serveröverskridande skriptsårbarhet i standard-404-filen på alla webbservrar som står värd för en domän som tillåter DNS-uppslagningar med jokertecken.
  3. CAN-2002-0843: Det fanns några möjliga spill i verktygsprogrammet ApacheBench (ab) som kunde utnyttjas av en illvillig server.
  4. CAN-2002-1233: En kapplöpningseffekt i htpasswd- och htdigestprogrammen gör det möjligt för en illvillig lokal användare att läsa och till och med modifiera innehållet i en lösenordsfil eller att lätt skapa och skriva över filer som användaren som kör htpasswd- respektive htdigestprogrammet. (Dessa binärer ingår dock inte i apache-ssl-paketet)
  5. CAN-2001-0131: htpasswd och htdigest i Apache 2.0a9, 1.3.14 med flera tillåter lokala användare att skriva över godtyckliga filer genom att angripa symboliska länkar.

    Detta är samma sårbarhet som CAN-2002-1233, vilken redan rättats i Potato, men som senare försvann och aldrig applicerades uppströms. (Dessa binärer ingår dock inte i apache-ssl-paketet)

  6. CAN saknas: Flera buffertspill har upptäckts i verktygsprogrammet ApacheBench (ab) vilka kunde utnyttjas av en fjärrserver som returnerar väldigt långa textsträngar. (Dessa binärer ingår dock inte i apache-ssl-paketet)

Dessa problem har rättats i version 1.3.26.1+1.48-0woody3 för den nuvarande stabila utgåvan (Woody) samt i 1.3.9.13-4.2 för den gamla stabila utgåvan (Potato). Rättade paket för den instabila utgåvan (Sid) förväntas inom kort.

Vi rekommenderar att ni uppgraderar ert Apache-SSL-paket omedelbart.

Rättat i:

Debian GNU/Linux 2.2 (potato)

Källkod:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13-4.2.dsc
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13-4.2.diff.gz
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13-4.2_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13-4.2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13-4.2_i386.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13-4.2_m68k.deb
PowerPC:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13-4.2_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13-4.2_sparc.deb

Debian GNU/Linux 3.0 (woody)

Källkod:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3.dsc
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3.diff.gz
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_ia64.deb
HP Precision:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.