Säkerhetsbulletin från Debian
DSA-067-1 apache -- fjärrattack
- Rapporterat den:
- 2001-07-28
- Berörda paket:
- apache, apache-ssl
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 3009.
I Mitres CVE-förteckning: CVE-2001-0925. - Ytterligare information:
-
Vi har fått rapporter att paketet "apache" som medföljer Debians
"stabila" utgåva är sårbar för problemet med "onaturligt långa
snedstreckssökvägskataloglistningar" som beskrivs på
SecurityFocus.
Denna sårbarhet tillkännagavs på bugtraq av Dan Harkless.
Citat från SecurityFocus för denna sårbarhet:
Quoting the SecurityFocus entry for this vulnerability:
Ett problem i paketet kunde tillåta katalogindexering och upptäckande av sökvägar. I en standardinställning aktiverar Apache mod_dir, mod_autoindex och mod_negotiation. Dock kan speciellt skrivna förfrågningar innehållande långa sökvägsnamn med onaturligt många snedstreck till Apachservern få dessa moduler att uppföra sig fel, vilket gör det möjligt att komma från felsidan och få en listning över kataloginnehållet.
Denna sårbarhet gör det möjligt för en illvillig fjärranvändare att igångsätta en informationsinsamlingsattack, vilket möjligen skulle kunna kompromettera systemet. Dessutom påverkar denna sårbarhet alla versioner av Apache före 1.3.19.
Detta problem har rättats i apache-ssl 1.3.9-13.3 och apache 1.3.9-14. Vi rekommenderar att du uppgraderar dina paket omedelbart.
Varning: MD5Sum-värdena för .dsc och .diff.gz stämmer inte eftersom de kopierades från den stabila utgåvan i efterhand, innehållet i .diff.gz är dock detsamma, kontrollerat.
- Rättat i:
-
Debian GNU/Linux 2.2 (potato)
apache
- Källkod:
- http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9-14.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9-14.dsc
- http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9-14.dsc
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-common_1.3.9-14_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-dev_1.3.9-14_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/apache_1.3.9-14_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-dev_1.3.9-14_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/apache-common_1.3.9-14_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/apache-dev_1.3.9-14_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/apache_1.3.9-14_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/apache-dev_1.3.9-14_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/apache-common_1.3.9-14_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/apache-dev_1.3.9-14_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/apache_1.3.9-14_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/apache-dev_1.3.9-14_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-common_1.3.9-14_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-dev_1.3.9-14_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/apache_1.3.9-14_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-dev_1.3.9-14_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-common_1.3.9-14_powerpc.deb
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-dev_1.3.9-14_powerpc.deb
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache_1.3.9-14_powerpc.deb
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-dev_1.3.9-14_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-common_1.3.9-14_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-dev_1.3.9-14_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/apache_1.3.9-14_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-dev_1.3.9-14_sparc.deb
- Arkitekturoberoende komponent:
- http://security.debian.org/dists/stable/updates/main/binary-all/apache-doc_1.3.9-14_all.deb
apache-ssl
- Källkod:
- http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-3.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-3.dsc
- http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-3.dsc
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-ssl_1.3.9.13-3_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/apache-ssl_1.3.9.13-3_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/apache-ssl_1.3.9.13-3_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-ssl_1.3.9.13-3_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-ssl_1.3.9.13-3_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-ssl_1.3.9.13-3_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.