Alerta de Segurança Debian
DSA-181-1 libapache-mod-ssl -- cross site scripting
- Data do Alerta:
- 22 Out 2002
- Pacotes Afetados:
- libapache-mod-ssl
- Vulnerável:
- Sim
- Referência à base de dados de segurança:
- Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 6029.
No dicionário CVE do Mitre: CVE-2002-1157. - Informações adicionais:
-
Joe Orton descobriu um problema de cross site scripting no mod_ssl, um módulo do apache que adiciona criptografia forte (i.e suporte a HTTPS) para o servidor. O módulo retornará o nome do servidor sem sequência de escape em resposta a uma requisição HTTP na porta SSL.
Como em outros bugs XSS recentes do Apache, isso somente afeta servidores usando uma combinação de "UseCanonicalName off" (padrão no pacote Debian do Apache) e coringas de DNS, embora seja muito improvável de acontecer. O Apache 2.0/mod_ssl não é vulnerável pois já possui sequência de escape.
Com esta configuração habilitada, se o apache precisar, para construir uma URL de Auto-Referência (uma URL que entrega a resposta que está chegando de volta para o servidor), ele usará o Nome do Servidor e Porta formando um nome "Canônico". Com essa configuração desligada, o Apache usará, quando possível o nome_do_host:porta que o cliente fornecer. Isso também afeta SERVER_NAME e SERVER_PORT nos scripts CGI.
Esse problema foi corrigido na versão 2.8.9-2.1 para a atual distribuição estável (woody), na versão 2.4.10-1.3.9-1potato4 para a antiga distribuição (potato) e na versão 2.8.9-2.3 para a distribuição instável (sid).
Nós recomendamos que você atualize seu pacote libapache-mod-ssl.
- Corrigido em:
-
Debian GNU/Linux 2.2 (potato)
- Fonte:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4.dsc
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4.diff.gz
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9.orig.tar.gz
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4.diff.gz
- Componente independente de arquitetura:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl-doc_2.4.10-1.3.9-1potato4_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_i386.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_m68k.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_powerpc.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_sparc.deb
Debian GNU/Linux 3.0 (woody)
- Fonte:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1.dsc
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1.diff.gz
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9.orig.tar.gz
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1.diff.gz
- Componente independente de arquitetura:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl-doc_2.8.9-2.1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_ia64.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_sparc.deb
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.