Aviso de seguridad de Debian
DSA-532-2 libapache-mod-ssl -- varias vulnerabilidades
- Fecha del informe:
- 27 de jul de 2004
- Paquetes afectados:
- libapache-mod-ssl
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2004-0488, CVE-2004-0700.
- Información adicional:
-
Se descubrieron dos vulnerabilidades en libapache-mod-ssl:
- CAN-2004-0488
Un desbordamiento de buffer basado en pila en la función ssl_util_uuencode_binary de ssl_util.c para Apache mod_ssl, cuando mod_ssl estaba configurado para que confiara en la CA (n.t. Autoridad Certificadora) emisora, podía permitir que los atacantes remotos ejecutaran código arbitrario por medio de un certificado de cliente con un asunto DN grande.
- CAN-2004-0700
Una vulnerabilidad de cadena de formato en la función ssl_log de ssl_engine_log.c en mod_ssl 2.8.19 para Apache 1.3.31 podía permitir que los atacantes remotos ejecutaran mensajes arbitrarios por medio de especificadores de cadena de formato en ciertos mensajes de registro para HTTPS.
Para la distribución estable actual (woody), estos problemas se han corregido en la versión 2.8.9-2.4.
Para la distribución inestable (sid), CAN-2004-0488 se corrigió en la versión 2.8.18, y CAN-2004-0700 se corregirá en breve.
Le recomendamos que actualice el paquete libapache-mod-ssl.
- CAN-2004-0488
- Arreglado en:
-
Debian GNU/Linux 3.0 (woody)
- Fuentes:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4.dsc
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4.diff.gz
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9.orig.tar.gz
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4.diff.gz
- Componentes independientes de la arquitectura:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl-doc_2.8.9-2.4_all.deb
- ARM:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso revisado.
