Debian-Sicherheitsankündigung
DSA-067-1 apache -- Angriff aus der Ferne
- Datum des Berichts:
- 28. Jul 2001
- Betroffene Pakete:
- apache, apache-ssl
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 3009.
In Mitres CVE-Verzeichnis: CVE-2001-0925. - Weitere Informationen:
-
Wir haben Berichte erhalten, dass das Apache-Paket, wie es in der
stabilen Debian-Distribution enthalten ist, für das Problem langer
Pfadnamen mit Schrägstrichen (»artificially long slash path directory
listing vulnerability«) verwundbar ist. Dieses ist auf SecurityFocus
beschrieben.
Diese Verwundbarkeit wurde von Dan Harkless auf bugtraq bekanntgegeben.
Zitat des Eintrags auf SecurityFocus für dieses Problem:
Ein Problem im Paket kann Verzeichnis-Indizes sowie das Ermitteln von Pfaden gestatten. In der voreingestellten Konfiguration aktiviert Apache mod_dir, mod_autoindex und mod_negotiation. Wenn eine manuelle Anfrage an den Apache gestellt wird, die aus einem langen, künstlich erstellten, Pfadnamen besteht, können diese Module dazu gebracht werden, sich falsch zu verhalten und die Fehlerseite zu umgehen, so dass die Liste mit den Verzeichnis-Inhalten angezeigt wird.
Diese Verwundbarkeit macht es böswilligen Benutzern auf entfernten Rechnern möglich, einen speziellen Angriff zu fahren, um Informationen zu erhalten, die möglicherweise in der Kompromittierung des Systems resultieren. Diese Verwundbarkeit betrifft alle Versionen von Apache bis zu 1.3.19.
Dieses Problem wurde in apache-ssl 1.3.9-13.3 und apache 1.3.9-14 behoben. Wir empfehlen Ihnen, dass Sie Ihre Pakete umgehend erneuern.
Achtung: Die MD5Sum der .dsc und .diff.gz Dateien passten nicht zusammen, da sie nachträglich vom stable Release kopiert wurden, der Inhalt der .diff.gz Datei ist jedoch geprüft worden und der selbe.
- Behoben in:
-
Debian GNU/Linux 2.2 (potato)
apache
- Quellcode:
- http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9-14.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9-14.dsc
- http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9-14.dsc
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-common_1.3.9-14_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-dev_1.3.9-14_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/apache_1.3.9-14_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-dev_1.3.9-14_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/apache-common_1.3.9-14_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/apache-dev_1.3.9-14_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/apache_1.3.9-14_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/apache-dev_1.3.9-14_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/apache-common_1.3.9-14_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/apache-dev_1.3.9-14_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/apache_1.3.9-14_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/apache-dev_1.3.9-14_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-common_1.3.9-14_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-dev_1.3.9-14_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/apache_1.3.9-14_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-dev_1.3.9-14_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-common_1.3.9-14_powerpc.deb
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-dev_1.3.9-14_powerpc.deb
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache_1.3.9-14_powerpc.deb
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-dev_1.3.9-14_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-common_1.3.9-14_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-dev_1.3.9-14_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/apache_1.3.9-14_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-dev_1.3.9-14_sparc.deb
- Architektur-unabhängige Dateien:
- http://security.debian.org/dists/stable/updates/main/binary-all/apache-doc_1.3.9-14_all.deb
apache-ssl
- Quellcode:
- http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-3.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-3.dsc
- http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-3.dsc
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-ssl_1.3.9.13-3_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/apache-ssl_1.3.9.13-3_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/apache-ssl_1.3.9.13-3_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-ssl_1.3.9.13-3_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-ssl_1.3.9.13-3_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-ssl_1.3.9.13-3_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.