Debians sikkerhedsbulletin
DSA-132-1 apache-ssl -- fjern-overbelastning/udnyttelse
- Rapporteret den:
- 19. jun 2002
- Berørte pakker:
- apache-ssl
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 5033.
I Mitres CVE-ordbog: CVE-2002-0392.
CERTs noter om sårbarheder, bulletiner og hændelser: CA-2002-17, VU#944335. - Yderligere oplysninger:
-
Mark Litchfield har fundet et overbelastningsangreb ("denial of service") i webserveren Apache. Mens Apache Software Foundation undersøgte problemet, opdatede de at koden til håndtering af forkerte forespørgsler som anvender "chunked encoding" også kunne give mulighed for udførelse af vilkårlig kode på 64-bits arkitekturer.
Dette er rettet i version 1.3.9.13-4.1 i Debians apache-ssl-pakke, foruden i opstrømsversionerne 1.3.26 og 2.0.37. Vi anbefaler kraftigt at du omgående opgraderer din apache-ssl-pakke.
En opdatering til Debian GNU/Linux 3.0-distributionen (woody) som snart bliver udgivet, er for øjeblikket ikke tilgængelig.
Flere oplysninger: CVE-2002-0392, VU#944335.
- Rettet i:
-
Debian GNU/Linux 2.2 (potato)
- Kildekode:
- http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-4.1.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-4.1.dsc
- http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-4.1.dsc
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-ssl_1.3.9.13-4.1_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/apache-ssl_1.3.9.13-4.1_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/apache-ssl_1.3.9.13-4.1_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-ssl_1.3.9.13-4.1_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-ssl_1.3.9.13-4.1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-ssl_1.3.9.13-4.1_sparc.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.