Aviso de seguridad de Debian

DSA-532-2 libapache-mod-ssl -- varias vulnerabilidades

Fecha del informe:
27 de jul de 2004
Paquetes afectados:
libapache-mod-ssl
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2004-0488, CVE-2004-0700.
Información adicional:

Se descubrieron dos vulnerabilidades en libapache-mod-ssl:

  • CAN-2004-0488

    Un desbordamiento de buffer basado en pila en la función ssl_util_uuencode_binary de ssl_util.c para Apache mod_ssl, cuando mod_ssl estaba configurado para que confiara en la CA (n.t. Autoridad Certificadora) emisora, podía permitir que los atacantes remotos ejecutaran código arbitrario por medio de un certificado de cliente con un asunto DN grande.

  • CAN-2004-0700

    Una vulnerabilidad de cadena de formato en la función ssl_log de ssl_engine_log.c en mod_ssl 2.8.19 para Apache 1.3.31 podía permitir que los atacantes remotos ejecutaran mensajes arbitrarios por medio de especificadores de cadena de formato en ciertos mensajes de registro para HTTPS.

Para la distribución estable actual (woody), estos problemas se han corregido en la versión 2.8.9-2.4.

Para la distribución inestable (sid), CAN-2004-0488 se corrigió en la versión 2.8.18, y CAN-2004-0700 se corregirá en breve.

Le recomendamos que actualice el paquete libapache-mod-ssl.

Arreglado en:

Debian GNU/Linux 3.0 (woody)

Fuentes:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4.dsc
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4.diff.gz
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9.orig.tar.gz
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl-doc_2.8.9-2.4_all.deb
ARM:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso revisado.