Debian-Sicherheitsankündigung

DSA-195-1 apache-perl -- Mehrere Verwundbarkeiten

Datum des Berichts:

13. Nov 2002

Betroffene Pakete:

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 5847, BugTraq ID 5884, BugTraq ID 5887, BugTraq ID 5995.
In Mitres CVE-Verzeichnis: CVE-2002-0839, CVE-2002-0840, CVE-2002-0843, CVE-2001-0131, CVE-2002-1233.

Weitere Informationen:

Laut David Wagner, iDEFENSE und dem Apache HTTP-Server-Projekt wurden mehrere entfernt ausnutzbare Verwundbarkeiten im Apache-Server-Paket entdeckt, einem häufig eingesetzten Webserver. Der meiste Sourcecode ist in den Apache und Apache-Perl Paketen gleich, daher sind auch die Verwundbarkeiten gleich.

Diese Verwundbarkeiten könnten es einem Angreifer erlauben, eine Diensteverweigerung (Denial of Service) gegen einen Server zu verhängen oder Site-übergreifende Skripting-Angriffe durchzuführen, oder Cookies von anderen Website-Benutzern zu stehlen. Das Common Vulnerabilities and Exposures (CVE)-Projekt identifiziert die folgenden Verwundbarkeiten:

CAN-2002-0839: Eine Verwundbarkeit existiert auf Plattformen, die System V Shared Memory zur internen Kommunikation verwenden. Diese Verwundbarkeit erlaubt es einem Angreifer, Programme mit der Apache-UID auszuführen, um das Apache Shared Memory Kommunikationsbrett-Format auszunutzen und ein Signal an jeden Prozess als root zu senden oder einen lokalen Diensteverweigerungs- (Denial of Service-)Angriff durchzuführen.
CAN-2002-0840: Apache ist mit der Standard-404-Seite für eine Site-übergreifende Skripting-Verwundbarkeit auf jedem Web-Server anfällig, der auf einer Domain mit Wildcard DNS-Abfragen aufgesetzt ist.
CAN-2002-0843: Es gab einige mögliche Überläufe im Werkzeug ApacheBench (ab), die von einem böswilligen Server ausgenutzt werden konnten. Dieses Programm wird jedoch nicht mit dem Apache-Perl-Paket ausgeliefert.
CAN-2002-1233: Ein Problem bei der Ausführung der htpasswd und htdigest Programme ermöglicht es einem böswilligen lokalen Benutzer, den Inhalt einer Passwort-Datei zu lesen oder sogar zu modifizieren, oder einfach Dateien als der Benutzer zu erstellen und überschreiben, der das htpasswd (oder entsprechend das htdigest) Programm verwendet. Die Programme sind jedoch nicht im Apache-Perl-Paket enthalten.
CAN-2001-0131: htpasswd und htdigest in Apache 2.0a9, 1.3.14 und weiteren erlaubt es lokalen Benutzern, willkürliche Dateien mittels eines Symlink-Angriff zu überschreiben. Diese Programme sind jedoch nicht im Apache-Perl-Paket enthalten.
NO-CAN: Mehrere Pufferüberläufe wurden im ApacheBench (ab) Werkzeug entdeckt, die von einem entfernten Server ausgenutzt werden könnten, indem er eine sehr lange Zeichenkette zurückliefert. Das Programm ist jedoch nicht im Apache-Perl-Paket enthalten.

Diese Probleme wurden in Version 1.3.26-1-1.26-0woody2 für die aktuelle stable Distribution (Woody), in Version 1.3.9-14.1-1.21.20000309-1.1 für die alte stable Distribution (Potato) und in Version 1.3.26-1.1-1.27-3-1 für die unstable Distribution (Sid) behoben.

Wir empfehlen Ihnen, Ihr Apache-Perl-Paket unverzüglich zu aktualisieren.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:: http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.9-14.1-1.21.20000309-1.1.dsc; http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.9-14.1-1.21.20000309-1.1.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.9-14.1-1.21.20000309-1.1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.9-14.1-1.21.20000309-1.1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.9-14.1-1.21.20000309-1.1_i386.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.9-14.1-1.21.20000309-1.1_m68k.deb
PowerPC:: http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.9-14.1-1.21.20000309-1.1_powerpc.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.9-14.1-1.21.20000309-1.1_sparc.deb

Debian GNU/Linux 3.0 (woody)

Quellcode:: http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2.dsc; http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_ia64.deb
HP Precision:: http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.