Рекомендация Debian по безопасности
DSA-067-1 apache -- удалённая уязвимость
- Дата сообщения:
- 28.07.2001
- Затронутые пакеты:
- apache, apache-ssl
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 3009.
В каталоге Mitre CVE: CVE-2001-0925. - Более подробная информация:
-
Мы получили сообщения о том, что пакет `apache', входящий в состав
стабильного выпуска Debian, подвержен `уязвимости листинга каталога
из-за большого количества косых черт', описываемой в статье SecurityFocus.
Об этой уязвимости сообщил Дэн Харклес на bugtraq.
Цитируем статью SecurityFocus об этой уязвимости:
Проблема в пакете может позволить выполнить индексацию каталога и обнаружение пути. По умолчанию Apache включает модули mod_dir, mod_autoindex и mod_negotiation. Тем не менее, отправка специально сформированного запроса на сервер Apache, содержащего длинное имя пути с большим количеством косых черт, приводит к неправильному поведению указанных модулей, что позволяет избежать страницы с ошибкой и получить листинг содержимого каталога.
Данная уязвимость позволяет удалённому злоумышленнику запускать атаку по сбору информации, которая потенциально может привести к компрометации системы. Кроме того, данная уязвимость касается всех выпусков Apache ниже версии 1.3.19.
Эта проблема была исправлена в пакете apache-ssl версии 1.3.9-13.3 и пакете apache версии 1.3.9-14. Рекомендуется как можно скорее обновить пакеты.
Внимание: контрольные суммы MD5 файлов .dsc и .diff.gz не совпадают, так как они были скопированы из стабильного выпуска позже, но файл .diff.gz имеет то же содержимое, это проверено.
- Исправлено в:
-
Debian GNU/Linux 2.2 (potato)
apache
- Исходный код:
- http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9-14.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9-14.dsc
- http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9-14.dsc
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-common_1.3.9-14_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-dev_1.3.9-14_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/apache_1.3.9-14_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-dev_1.3.9-14_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/apache-common_1.3.9-14_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/apache-dev_1.3.9-14_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/apache_1.3.9-14_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/apache-dev_1.3.9-14_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/apache-common_1.3.9-14_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/apache-dev_1.3.9-14_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/apache_1.3.9-14_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/apache-dev_1.3.9-14_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-common_1.3.9-14_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-dev_1.3.9-14_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/apache_1.3.9-14_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-dev_1.3.9-14_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-common_1.3.9-14_powerpc.deb
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-dev_1.3.9-14_powerpc.deb
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache_1.3.9-14_powerpc.deb
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-dev_1.3.9-14_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-common_1.3.9-14_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-dev_1.3.9-14_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/apache_1.3.9-14_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-dev_1.3.9-14_sparc.deb
- Независимые от архитектуры компоненты:
- http://security.debian.org/dists/stable/updates/main/binary-all/apache-doc_1.3.9-14_all.deb
apache-ssl
- Исходный код:
- http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-3.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-3.dsc
- http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-3.dsc
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-ssl_1.3.9.13-3_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/apache-ssl_1.3.9.13-3_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/apache-ssl_1.3.9.13-3_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-ssl_1.3.9.13-3_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-ssl_1.3.9.13-3_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-ssl_1.3.9.13-3_sparc.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.