Säkerhetsbulletin från Debian

DSA-120-1 mod_ssl -- buffertspill

Rapporterat den:
2002-03-10
Berörda paket:
libapache-mod-ssl, apache-ssl
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2002-0082.
Ytterligare information:

Ed Moyle fann nyligen ett buffertspill i Apache-SSL och mod_ssl. När sessionscachning är aktiverat kommer mod_ssl att serialisera SSL-sessionsvariabler för att lagra dem för senare användning. Dessa variabler lagrades i en buffert med fast storlek utan tillrådiga storlekskontroller.

För att utnyttja spillet måste servern konfigureras så att den kräver klientcertifikat, och en angripare måste få tag i ett specialskrivet klientcertifikat som har signerats av en certifikatauktoritet som servern litar på. Om dessa villkor uppfylls kan det vara möjligt för angriparen att köra godtycklig kod på servern.

Detta problem har rättats i version 1.3.9.13-4 av Apache-SSL och version 2.4.10-1.3.9-1potato1 av libapache-mod-ssl för den stabila Debianutgåvan, såväl som i version 1.3.23.1+1.47-1 av Apache-SSL och version 2.8.7-1 av libapache-mod-ssl för uttestnings- och den instabila utgåvan av Debian.

Vi rekommenderar att ni uppgraderar era Apache-SSL- och mod_ssl-paket.

Rättat i:

Debian GNU/Linux 2.2 (potato)

Källkod:
http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-4.diff.gz
http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-4.dsc
http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13.orig.tar.gz
http://security.debian.org/dists/stable/updates/main/source/libapache-mod-ssl_2.4.10-1.3.9-1potato1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/libapache-mod-ssl_2.4.10-1.3.9-1potato1.dsc
http://security.debian.org/dists/stable/updates/main/source/libapache-mod-ssl_2.4.10-1.3.9.orig.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/dists/stable/updates/main/binary-all/libapache-mod-ssl-doc_2.4.10-1.3.9-1potato1_all.deb
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-ssl_1.3.9.13-4_alpha.deb
http://security.debian.org/dists/stable/updates/main/binary-alpha/libapache-mod-ssl_2.4.10-1.3.9-1potato1_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/apache-ssl_1.3.9.13-4_arm.deb
http://security.debian.org/dists/stable/updates/main/binary-arm/libapache-mod-ssl_2.4.10-1.3.9-1potato1_arm.deb
Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/apache-ssl_1.3.9.13-4_i386.deb
http://security.debian.org/dists/stable/updates/main/binary-i386/libapache-mod-ssl_2.4.10-1.3.9-1potato1_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-ssl_1.3.9.13-4_m68k.deb
http://security.debian.org/dists/stable/updates/main/binary-m68k/libapache-mod-ssl_2.4.10-1.3.9-1potato1_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-ssl_1.3.9.13-4_powerpc.deb
http://security.debian.org/dists/stable/updates/main/binary-powerpc/libapache-mod-ssl_2.4.10-1.3.9-1potato1_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-ssl_1.3.9.13-4_sparc.deb
http://security.debian.org/dists/stable/updates/main/binary-sparc/libapache-mod-ssl_2.4.10-1.3.9-1potato1_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.