Pular "Quicknav"

• Sobre o Debian
• Notícias
• Obtendo o Debian
• Suporte
• Canto dos Desenvolvedores
• Mapa do site
• Busca

Alerta de Segurança Debian

DSA-195-1 apache-perl -- várias vulnerabilidades

Data do Alerta:

13 Nov 2002

Pacotes Afetados:

apache-perl

Vulnerável:

Sim

Referência à base de dados de segurança:

Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 5847, ID BugTraq 5884, ID BugTraq 5887, ID BugTraq 5995.
No dicionário CVE do Mitre: CVE-2002-0839, CVE-2002-0840, CVE-2002-0843, CVE-2001-0131, CVE-2002-1233.

Informações adicionais:

De acordo com David Wagner, o iDEFENSE e o projeto Apache, várias vulnerabilidades que podem ser exploradas remotamente foram encontradas no pacote Apache, um servidor web comumente utilizado. A maioria do código é compartilhado entre os pacotes Apache e Apache-Perl, o que faz com que as vulnerabilidades também sejam.

Estas vulnerabilidades podem permitir que um atacante execute um ataque de negação de serviço ou cross scripting ou roube cookies de outros usuários do servidor web. O projeto Common Vulnerabilities and Exposures (CVE) identificou as seguintes vulnerabilidades:

1. CAN-2002-0839: Uma vulnerabilidade existe em plataformas que usem memórias compartilhadas System V baseadas em pontuação. Esta vulnerabilidade permite que um atacante possa executar sobre o UID do Apache e explorar o formato de pontuação da memória compartilhada e enviar um sinal para qualquer processo como root ou cause um ataque local de negação de serviço.
2. CAN-2002-0840: O Apache está suscetível a uma vulnerabilidade cross site scripting na página 404 padrão de qualquer servidor web em um domínio que permita procura no DNS atráves de coringas.
3. CAN-2002-0843: Há alguns possíveis overflows no utilitário ApacheBench (ab) que pode ser explorado por um servidor malicioso. De qualquer forma, os binários não são distribuídos com o pacote Apache-Perl.
4. CAN-2002-1233: Uma condição de corrida nos programas htpasswd e htdigest possibilita que um usuário local malicioso leia ou até mesmo modifique o conteúdo de um arquivo de senhas ou facilmente crie e substitua arquivos como o usuário que está executando o programa htpasswd (ou o htdigest). De qualquer forma, os binários não são distribuídos com o pacote Apache-Perl.
5. CAN-2001-0131: O htpasswd e o htdigest no Apache 2.0a9, 1.3.14 e outros permitem usuários locais a sobrescrever arquivos arbitrários através de um atacante de links simbólicos. De qualquer forma, os binários não são distribuídos com o pacote Apache-Perl.
6. NO-CAN: Vários buffer overflows foram encontrados no utilitário ApacheBench (ab) que pode ser explorado por um servidor remoto que retorne muitas strings. De qualquer forma, os binários não são distribuídos com o pacote Apache-Perl.

Estes problemas foram corrigidos na versão 1.3.26-1-1.26-0woody2 para a atual distribuição estável (woody), na 1.3.9-14.1-1.21.20000309-1.1 para a antiga distribuição estável (potato) e na versão 1.3.26-1.1-1.27-3-1 para a distribuição instável (sid).

Nós recomendamos que você atualize seu pacote Apache-Perl imediatamente.

Corrigido em:

Debian GNU/Linux 2.2 (potato)

Fonte:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.9-14.1-1.21.20000309-1.1.dsc

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.9-14.1-1.21.20000309-1.1.tar.gz

Alpha:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.9-14.1-1.21.20000309-1.1_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.9-14.1-1.21.20000309-1.1_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.9-14.1-1.21.20000309-1.1_i386.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.9-14.1-1.21.20000309-1.1_m68k.deb

PowerPC:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.9-14.1-1.21.20000309-1.1_powerpc.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.9-14.1-1.21.20000309-1.1_sparc.deb

Debian GNU/Linux 3.0 (woody)

Fonte:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2.dsc

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2.tar.gz

Alpha:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_ia64.deb

HP Precision:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_hppa.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_m68k.deb

Big endian MIPS:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_mips.deb

Little endian MIPS:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_sparc.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.

Esta página também está disponível nos seguintes idiomas:

dansk Deutsch English español français svenska

Como configurar o idioma padrão dos documentos