Hoppa över navigering

• Om Debian
• Nyheter
• Få tag på Debian
• Support
• Utvecklarhörnet
• Sidöversikt
• Sök

Säkerhetsbulletin från Debian

DSA-195-1 apache-perl -- flera sårbarheter

Rapporterat den:

2002-11-13

Berörda paket:

apache-perl

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 5847, BugTraq-id 5884, BugTraq-id 5887, BugTraq-id 5995.
I Mitres CVE-förteckning: CVE-2002-0839, CVE-2002-0840, CVE-2002-0843, CVE-2001-0131, CVE-2002-1233.

Ytterligare information:

Enligt David Wagner från iDEFENSE och Apache-webbserverprojektet har flera utifrån nåbara sårbarheter upptäckts i Apachepaketet, en ofta använd webbserver. Större delen av denna kod delas mellan paketen Apache och Apache-Perl, vilket gör att även sårbarheter förekommer i bägge.

Dessa sårbarheter gör det möjligt för en angripare att utföra ett överbelastningsangrepp mot en server eller utföra ett serveröverskridande skriptangrepp eller stjäla kakor från andra användare av webbplatsen. Projektet ”Common Vulnerabilities and Exposures” (CVE) identifierade följande sårbarheter:

1. CAN-2002-0839: En sårbarhet förekommer på plattformar som använder ”scoreboards” baserat på System V-delat minne. Denna sårbarhet gör det möjligt för en angripare att köra program under Apaches användar-id att utnyttja Apaches ”scoreboard”-format i delat minne för att sända en signal till godtycklig process som root eller utföra ett lokalt överbelastningsangrepp.
2. CAN-2002-0840: Apache kan är mottaglig för en serveröverskridande skriptsårbarhet i standard-404-filen på alla webbservrar som står värd för en domän som tillåter DNS-uppslagningar med jokertecken.
3. CAN-2002-0843: Det fanns några möjliga spill i verktygsprogrammet ApacheBench (ab) som kunde utnyttjas av en illvillig server. Detta binärprogram medföljer dock inte Apache-Perl-paketet.
4. CAN-2002-1233: En kapplöpningseffekt i htpasswd- och htdigestprogrammen gör det möjligt för en illvillig lokal användare att läsa och till och med modifiera innehållet i en lösenordsfil eller att lätt skapa och skriva över filer som användaren som kör htpasswd- respektive htdigestprogrammet. Dessa binärprogram medföljer dock inte Apache-Perl-paketet.
5. CAN-2001-0131: htpasswd och htdigest i Apache 2.0a9, 1.3.14 med flera tillåter lokala användare att skriva över godtyckliga filer genom att angripa symboliska länkar. Dessa binärprogram medföljer dock inte Apache-Perl-paketet.
6. CAN saknas: Flera buffertspill har upptäckts i verktygsprogrammet ApacheBench (ab) vilka kunde utnyttjas av en fjärrserver som returnerar väldigt långa textsträngar. Dessa binärprogram medföljer dock inte Apache-Perl-paketet.

Dessa problem har rättats i version 1.3.26-1-1.26-0woody2 för den nuvarande stabila utgåvan (Woody), i 1.3.9-14.1-1.21.20000309-1.1 för den gamla stabila utgåvan (Potato) samt i version 1.3.26-1.1-1.27-3-1 för den instabila utgåvan (Sid).

Vi rekommenderar att ni uppgraderar ert Apache-Perl-paket omedelbart.

Rättat i:

Debian GNU/Linux 2.2 (potato)

Källkod:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.9-14.1-1.21.20000309-1.1.dsc

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.9-14.1-1.21.20000309-1.1.tar.gz

Alpha:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.9-14.1-1.21.20000309-1.1_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.9-14.1-1.21.20000309-1.1_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.9-14.1-1.21.20000309-1.1_i386.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.9-14.1-1.21.20000309-1.1_m68k.deb

PowerPC:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.9-14.1-1.21.20000309-1.1_powerpc.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.9-14.1-1.21.20000309-1.1_sparc.deb

Debian GNU/Linux 3.0 (woody)

Källkod:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2.dsc

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2.tar.gz

Alpha:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_ia64.deb

HP Precision:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_hppa.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_m68k.deb

Big endian MIPS:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_mips.deb

Little endian MIPS:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/a/apache-perl/apache-perl_1.3.26-1-1.26-0woody2_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.

Denna sida finns även på följande språk:

dansk Deutsch English español français Português

Så ställer du in standardspråkval för dokument