Debian-Sicherheitsankündigung

DSA-021-1 apache -- Unsicherer Temporärdatei-Fehler, defektes mod_rewrite

Datum des Berichts:
26. Jan 2001
Betroffene Pakete:
apache
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 2182.
In Mitres CVE-Verzeichnis: CVE-2001-0131.
Weitere Informationen:
WireX hat einige Stellen in htdigest und htpasswd gefunden, an denen Temporärdateien unsicher geöffnet werden. Beide Programme sind nicht setuid oder setgid installiert, daher sollte die Auswirkung minimal sein. Die Apache-Gruppe hat eine weitere Sicherheitsbehebung veröffentlicht, die eine Verwundbarkeit in mod_rewrite behebt, die es einem entfernten Angreifer erlaubt, auf willkürliche Dateien auf dem Web-Server zuzugreifen.
Behoben in:

Debian 2.2 (potato)

Quellcode:
http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9-13.2.diff.gz
http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9-13.2.dsc
http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-common_1.3.9-13.2_alpha.deb
http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-dev_1.3.9-13.2_alpha.deb
http://security.debian.org/dists/stable/updates/main/binary-alpha/apache_1.3.9-13.2_alpha.deb
arm:
http://security.debian.org/dists/stable/updates/main/binary-arm/apache-common_1.3.9-13.2_arm.deb
http://security.debian.org/dists/stable/updates/main/binary-arm/apache-dev_1.3.9-13.2_arm.deb
http://security.debian.org/dists/stable/updates/main/binary-arm/apache_1.3.9-13.2_arm.deb
i386:
http://security.debian.org/dists/stable/updates/main/binary-i386/apache-common_1.3.9-13.2_i386.deb
http://security.debian.org/dists/stable/updates/main/binary-i386/apache-dev_1.3.9-13.2_i386.deb
http://security.debian.org/dists/stable/updates/main/binary-i386/apache_1.3.9-13.2_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-common_1.3.9-13.2_m68k.deb
http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-dev_1.3.9-13.2_m68k.deb
http://security.debian.org/dists/stable/updates/main/binary-m68k/apache_1.3.9-13.2_m68k.deb
powerpc:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-common_1.3.9-13.2_powerpc.deb
http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-dev_1.3.9-13.2_powerpc.deb
http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache_1.3.9-13.2_powerpc.deb
sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-common_1.3.9-13.2_sparc.deb
http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-dev_1.3.9-13.2_sparc.deb
http://security.debian.org/dists/stable/updates/main/binary-sparc/apache_1.3.9-13.2_sparc.deb