Alerta de Segurança Debian

DSA-120-1 mod_ssl -- buffer overflow

Data do Alerta:
10 Mar 2002
Pacotes Afetados:
libapache-mod-ssl, apache-ssl
Vulnerável:
Sim
Referência à base de dados de segurança:
No dicionário CVE do Mitre: CVE-2002-0082.
Informações adicionais:

Ed Moyle achou um buffer overflow no Apache-SSL e mod_ssl recentemente. Com o "session caching" ativado, mod_ssl colocará em série variáveis de sessão SSL para usá-las posteriormente. Essas variáveis foram armazenadas em um buffer de tamanho fixo sem a checagem apropriada do limite do buffer.

Para explorar o overflow, o servidor deve estar configurado para requerer certificados do cliente, e um invasor deve obter um certificado do cliente cuidadosamente elaborado por ele que tenha sido assinado por uma Autoridade de Certificão que o servidor confie. Se ocorrerem essas duas coisas condições, é possível que um invasor execute códigos arbitrários no servidor.

Esse problema foi consertado na versão 1.3.9.13-4 do Apache-SSL e versão 2.4.10-1.3.9-1potato1 do libapache-mod-ssl para a distribuição estável do Debian assim como na versão 1.3.23.1+1.47-1 do Apache-SSL e versão 2.8.7-1 do libapache-mod-ssl para a distribuição instável e testing do Debian.

Nós recomendamos que você faça a atualização dos seus pacotes Apache-SSL e mod_ssl.

Corrigido em:

Debian GNU/Linux 2.2 (potato)

Fonte:
http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-4.diff.gz
http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-4.dsc
http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13.orig.tar.gz
http://security.debian.org/dists/stable/updates/main/source/libapache-mod-ssl_2.4.10-1.3.9-1potato1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/libapache-mod-ssl_2.4.10-1.3.9-1potato1.dsc
http://security.debian.org/dists/stable/updates/main/source/libapache-mod-ssl_2.4.10-1.3.9.orig.tar.gz
Componente independente de arquitetura:
http://security.debian.org/dists/stable/updates/main/binary-all/libapache-mod-ssl-doc_2.4.10-1.3.9-1potato1_all.deb
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-ssl_1.3.9.13-4_alpha.deb
http://security.debian.org/dists/stable/updates/main/binary-alpha/libapache-mod-ssl_2.4.10-1.3.9-1potato1_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/apache-ssl_1.3.9.13-4_arm.deb
http://security.debian.org/dists/stable/updates/main/binary-arm/libapache-mod-ssl_2.4.10-1.3.9-1potato1_arm.deb
Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/apache-ssl_1.3.9.13-4_i386.deb
http://security.debian.org/dists/stable/updates/main/binary-i386/libapache-mod-ssl_2.4.10-1.3.9-1potato1_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-ssl_1.3.9.13-4_m68k.deb
http://security.debian.org/dists/stable/updates/main/binary-m68k/libapache-mod-ssl_2.4.10-1.3.9-1potato1_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-ssl_1.3.9.13-4_powerpc.deb
http://security.debian.org/dists/stable/updates/main/binary-powerpc/libapache-mod-ssl_2.4.10-1.3.9-1potato1_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-ssl_1.3.9.13-4_sparc.deb
http://security.debian.org/dists/stable/updates/main/binary-sparc/libapache-mod-ssl_2.4.10-1.3.9-1potato1_sparc.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.