Рекомендация Debian по безопасности
DSA-532-2 libapache-mod-ssl -- различные уязвимости
- Дата сообщения:
- 27.07.2004
- Затронутые пакеты:
- libapache-mod-ssl
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2004-0488, CVE-2004-0700.
- Более подробная информация:
-
Обнаружены две уязвимости в libapache-mod-ssl:
- CAN-2004-0488
Переполнение буфера стека при работе функции ssl_util_uuencode_binary файла ssl_util.c модуля Apache mod_ssl может, если mod_ssl настроен на доверие выпускающему CA, позволить удалённому нападающему выполнить произвольный код с помощью сертификата клиента с длинной темой DN.
- CAN-2004-0700
Уязвимость строки формата в функции ssl_log файла ssl_engine_log.c модуля mod_ssl 2.8.19 для Apache 1.3.31 может позволить удалённому нападающему выполнить произвольные сообщения при помощи спецификаторов формата в некоторых сообщениях журнала протокола HTTPS.
В текущем стабильном дистрибутиве (woody) эти проблемы исправлены в версии 2.8.9-2.4.
В нестабильном дистрибутиве (sid) CAN-2004-0488 исправлена в версии 2.8.18, а CAN-2004-0700 будет исправлена в ближайшее время.
Мы рекомендуем вам обновить пакет libapache-mod-ssl.
- CAN-2004-0488
- Исправлено в:
-
Debian GNU/Linux 3.0 (woody)
- Исходный код:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4.dsc
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4.diff.gz
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9.orig.tar.gz
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl-doc_2.8.9-2.4_all.deb
- ARM:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_sparc.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.
Контрольные суммы MD5 этих файлов доступны в пересмотренном сообщении.