Säkerhetsbulletin från Debian

DSA-132-1 apache-ssl -- överbelastningsattack utifrån

Rapporterat den:

2002-06-19

Berörda paket:

Sårbara:

Referenser i säkerhetsdatabaser:

I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 5033.
I Mitres CVE-förteckning: CVE-2002-0392.
CERTs information om sårbarheter, bulletiner och incidenter: CA-2002-17, VU#944335.

Ytterligare information:

Mark Litchfield fann en överbelastningattack i webbservern Apache. När Apache Software undersökte problemet upptäcktes det att koden som hanterar ogiltiga anrop som sänds stötvis (eng. chunked encoding) också kan användas för att exekvera godtycklig kod på 64-bitarsarkitekturer.

Detta har rättats i version 1.3.9.13-4.1 av Debians apache-ssl-paket och vi rekommenderar att ni uppgraderar era apache-ssl-paket omedelbart.

En uppdatering för Debian GNU/Linux 3.0/woody som snart skall ges ut är inte tillgänglig för närvarande.

Ytterligare information: CVE-2002-0392, VU#944335.

Rättat i:

Debian GNU/Linux 2.2 (potato)

Källkod:: http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-4.1.diff.gz; http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-4.1.dsc; http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13.orig.tar.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-ssl_1.3.9.13-4.1_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/apache-ssl_1.3.9.13-4.1_arm.deb
Intel IA-32:: http://security.debian.org/dists/stable/updates/main/binary-i386/apache-ssl_1.3.9.13-4.1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-ssl_1.3.9.13-4.1_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-ssl_1.3.9.13-4.1_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-ssl_1.3.9.13-4.1_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.