Debianin tietoturvatiedote
DSA-067-1 apache -- etäkäyttö
- Ilmoitettu:
- 28. 7.2001
- Vaikutuksen alaiset paketit:
- apache, apache-ssl
- Altis:
- Kyllä
- Viittaukset tietoturvatietokantoihin:
- Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 3009.
Mitren CVE-sanakirjassa: CVE-2001-0925. - Lisätietoa:
-
Olemme saaneet tietoomme, että apache-paketti, joka sisältyy
Debian "vakaa" -jakeluun, on altis "keinotekoisen pitkän
kauttaviiva-polun hakemistolistaukseen", kuten kuvataan SecurityFocuksessa.
Tämä haavoittuman julkisti bugtraqiin Dan Harkless.
Lainaten SecurityFocus-tiedotetta tästä haavoittumasta:
Ongelma paketissa saattaa sallia hakemiston listauksen ja polun löytämisen. Oletusasetuksilla Apache käyttää mod_dirriä, mod_autoindexiä ja mod_negotiationia. Kuitenkin muodostamalla tarkasti räätälöidyn pyynnön Apache-palvelimelle sisältäen pitkän polkunimen, joka luodaan keinotekoisesti käyttämällä runsaslukuisasti kauttaviivoja, voidaan saada nämä moduulit käyttäytymään huonosti, tehden mahdolliseksi välttää virheilmoitussivu ja saada listaus hakemiston sisällöstä.
Tämä haavoittuma tekee mahdolliseksi pahantahtoisen etäkäyttäjän suorittaa tiedonkeruuhyökkäys, jota voidaan mahdollisesti käyttää järjestelmän altistamiseen. Lisäksi, tämä haavoittuma koskee kaikkia Apachen julkaisuja ennen 1.3.19:aa.
Tämä ongelma on korjattu apache-ssl:n versiossa 1.3.9-13.3 ja apachen versiossa 1.3.9-14. Suosittelemme päivittämään pakettisi välittömästi.
Varoitus: .dsc- ja .diff.gz-tiedostojen MD5Summat eivät täsmää, koska ne kopioitiin vakaasta julkaisusta jälkikäteen, .diff.gz:n sisältö on kuitenkin sama, asia on tarkistettu.
- Korjattu:
-
Debian GNU/Linux 2.2 (potato)
apache
- Lähde:
- http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9-14.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9-14.dsc
- http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9-14.dsc
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-common_1.3.9-14_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-dev_1.3.9-14_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/apache_1.3.9-14_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-dev_1.3.9-14_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/apache-common_1.3.9-14_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/apache-dev_1.3.9-14_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/apache_1.3.9-14_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/apache-dev_1.3.9-14_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/apache-common_1.3.9-14_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/apache-dev_1.3.9-14_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/apache_1.3.9-14_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/apache-dev_1.3.9-14_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-common_1.3.9-14_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-dev_1.3.9-14_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/apache_1.3.9-14_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-dev_1.3.9-14_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-common_1.3.9-14_powerpc.deb
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-dev_1.3.9-14_powerpc.deb
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache_1.3.9-14_powerpc.deb
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-dev_1.3.9-14_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-common_1.3.9-14_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-dev_1.3.9-14_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/apache_1.3.9-14_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-dev_1.3.9-14_sparc.deb
- Arkkitehtuuririippumaton komponentti:
- http://security.debian.org/dists/stable/updates/main/binary-all/apache-doc_1.3.9-14_all.deb
apache-ssl
- Lähde:
- http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-3.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-3.dsc
- http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-3.dsc
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-ssl_1.3.9.13-3_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/apache-ssl_1.3.9.13-3_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/apache-ssl_1.3.9.13-3_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-ssl_1.3.9.13-3_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-ssl_1.3.9.13-3_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-ssl_1.3.9.13-3_sparc.deb
Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.