Alerta de Segurança Debian

DSA-181-1 libapache-mod-ssl -- cross site scripting

Data do Alerta:
22 Out 2002
Pacotes Afetados:
libapache-mod-ssl
Vulnerável:
Sim
Referência à base de dados de segurança:
Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 6029.
No dicionário CVE do Mitre: CVE-2002-1157.
Informações adicionais:

Joe Orton descobriu um problema de cross site scripting no mod_ssl, um módulo do apache que adiciona criptografia forte (i.e suporte a HTTPS) para o servidor. O módulo retornará o nome do servidor sem seqüência de escape em resposta a uma requisição HTTP na porta SSL.

Como em outros bugs XSS recentes do Apache, isso somente afeta servidores usando uma combinação de "UseCanonicalName off" (padrão no pacote Debian do Apache) e coringas de DNS, embora seja muito improvável de acontecer. O Apache 2.0/mod_ssl não é vulnerável pois já possui seqüencia de escape.

Com esta configuração habilitada, se o apache precisar, para construir uma URL de Auto-Referência (uma URL que entrega a resposta que está chegando de volta para o servidor), ele usará o Nome do Servidor e Porta formando um nome "Canônico". Com essa configuração desligada, o Apache usará, quando possível o nome_do_host:porta que o cliente fornecer. Isso também afeta SERVER_NAME e SERVER_PORT nos scripts CGI.

Esse problema foi corrigido na versão 2.8.9-2.1 para a atual distribuição estável (woody), na versão 2.4.10-1.3.9-1potato4 para a antiga distribuição (potato) e na versão 2.8.9-2.3 para a distribuição instável (sid).

Nós recomendamos que você atualize seu pacote libapache-mod-ssl.

Corrigido em:

Debian GNU/Linux 2.2 (potato)

Fonte:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4.dsc
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4.diff.gz
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9.orig.tar.gz
Componente independente de arquitetura:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl-doc_2.4.10-1.3.9-1potato4_all.deb
Alpha:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_i386.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_m68k.deb
PowerPC:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_sparc.deb

Debian GNU/Linux 3.0 (woody)

Fonte:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1.dsc
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1.diff.gz
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9.orig.tar.gz
Componente independente de arquitetura:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl-doc_2.8.9-2.1_all.deb
Alpha:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_ia64.deb
HP Precision:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_sparc.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.