[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:29330] [Translate] [SECURITY] [DSA-067-1] New versions of apache, fixes index bug

From: Seiji Kaneko <skaneko@xxxxxxxxxxxx>
Subject: [debian-users:29330] [Translate] [SECURITY] [DSA-067-1] New versions of apache, fixes index bug
Date: Sun, 29 Jul 2001 09:37:49 +0900
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 3.0pl#17]; post only (only members can post)
Message-id: <p04320401b7890bb224f6@[192.168.200.6]>
X-mail-count: 29330
X-mailer: Macintosh Eudora Version 4.3.2-J

かねこです。

URL 等は元記事を確認ください。
------>8------------>8------------>8------------>8------------>8
- ------------------------------------------------------------------------
Debian Security Advisory DSA-067-1                   security@debian.org
http://www.debian.org/security/                    Robert van der Meulen
July 28, 2001
- ------------------------------------------------------------------------


Package		: apache,apache-ssl
Problem type	: リモートからの攻撃
remote exploit
Debian-specific	: no

Debian の安定版のディストリビューションに含まれる 'apache' http デーモン
には http://www.securityfocus.com/vdb/bottom.html?vid=2503 で詳細に記述
されている「人工的に作成されたスラッシュが長く連続するパスリストに関する
弱点」があるという報告がありました。

この弱点は Dan Harkless さんにより bugtraq に報告されたものです。

この弱点についての SecurityFocus の解説から引用します。

 パッケージに問題があり、ディレクトリ表示とパス探索を許してしまっています。
 標準設定下では apache は mod_dir、mod_autoindex、mod_autoindex と
 mod_negotiation を有効にしていますが、apache サーバに対して特別に作成し
 た人工的に作成した多数のスラッシュからなるリクエストを与えることにより、
 これらのモジュールを誤動作させ、エラーページを回避してディレクトリの内容
 のリストを表示させることができます。

 この弱点を使って悪意を持ったリモートのユーザが情報を抜き取る攻撃を行うこ
 とができますし、これはシステムに対する攻撃につながるかもしれません。この
 脆弱性は、Apache のバージョン 1.3.19 以前のものすべてにあります。

この問題は apache-ssl 1.3.9-13.3 と apache_1.3.9-14 で修正されており、す
ぐにパッケージをアップグレードすることを薦めます。

wget url
	でファイルを取得できます。
dpkg -i file.deb
        で参照されたファイルをインストールできます。

Debian GNU/Linux 2.2 alias potato
- ---------------------------------

  Potato は alpha, arm, i386, m68k, powerpc と sparc の各アーキテクチ
 ャ向けにリリースされています。

apache:

  Source archives:
    http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9-14.diff.gz
      MD5 checksum: c4515c4e215fa0043bc19cb12504d1e5
    http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9-14.dsc
      MD5 checksum: cbf0274782ebcf4ff23557c87b587e35
    http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9.orig.tar.gz
      MD5 checksum: 6758fe8b931be0b634b6737d9debf703

  Alpha architecture:
    http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-common_1.3.9-14_alpha.deb
      MD5 checksum: c5dafed71fb298494f650ba985459abb
    http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-dev_1.3.9-14_alpha.deb
      MD5 checksum: ab4e227138fe2a23c0305d7dbd04dd45
    http://security.debian.org/dists/stable/updates/main/binary-alpha/apache_1.3.9-14_alpha.deb
      MD5 checksum: d7aadb0431928b73808421cb45063f0b

  ARM architecture:
    http://security.debian.org/dists/stable/updates/main/binary-arm/apache-common_1.3.9-14_arm.deb
      MD5 checksum: ef7dbf50f00ca0d5ae1059ce54ddbd32
    http://security.debian.org/dists/stable/updates/main/binary-arm/apache-dev_1.3.9-14_arm.deb
      MD5 checksum: 0ba560cbab616963b14a3f69b96b7c14
    http://security.debian.org/dists/stable/updates/main/binary-arm/apache_1.3.9-14_arm.deb
      MD5 checksum: 39356bbfe86465d3f4ee0d70b802cb19

  Intel IA-32 architecture:
    http://security.debian.org/dists/stable/updates/main/binary-i386/apache-common_1.3.9-14_i386.deb
      MD5 checksum: 10e72df77f3f80966ab64e7894c341ac
    http://security.debian.org/dists/stable/updates/main/binary-i386/apache-dev_1.3.9-14_i386.deb
      MD5 checksum: b995eb96a35f173f4a0eddfb4eef9d4a
    http://security.debian.org/dists/stable/updates/main/binary-i386/apache_1.3.9-14_i386.deb
      MD5 checksum: 584bf2147b543caf47fcc5cb0c8f00f1

 Motorola 680x0 architecture:
    http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-common_1.3.9-14_m68k.deb
      MD5 checksum: 78dccef970dab93961c006be91f2088d
    http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-dev_1.3.9-14_m68k.deb
      MD5 checksum: dd1e6903d0d6a4bb8593dbee3f3ecc63
    http://security.debian.org/dists/stable/updates/main/binary-m68k/apache_1.3.9-14_m68k.deb
      MD5 checksum: 092d8efd2c1636ba61c0cf06715a4c32

  PowerPC architecture:
    http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-common_1.3.9-14_powerpc.deb
      MD5 checksum: aa5562f9c7b4c31fc69a8abed36fa35d
    http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-dev_1.3.9-14_powerpc.deb
      MD5 checksum: 41a515a7d5a06a408d7542a78ebc414e
    http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache_1.3.9-14_powerpc.deb
      MD5 checksum: d44f096a45f15736408ed1b0b6a2217b

  Sun Sparc architecture:
    http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-common_1.3.9-14_sparc.deb
      MD5 checksum: bd74b6aceae09bdbc411ad7f1a922e01
    http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-dev_1.3.9-14_sparc.deb
      MD5 checksum: ff38d73da980832b27c306fa569eb046
    http://security.debian.org/dists/stable/updates/main/binary-sparc/apache_1.3.9-14_sparc.deb
      MD5 checksum: 475b0de72d7e49ca546137edecba0018

  Architecture independent archives:
    http://security.debian.org/dists/stable/updates/main/binary-all/apache-doc_1.3.9-14_all.deb
      MD5 checksum: af4c2c93f0a6fcf663131bd204aac7d9

apache-ssl:

 Source archives:
    http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-3.diff.gz
      MD5 checksum: ae5dcfcf6a805451f9384e3f1c4bdc58
    http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-3.dsc
      MD5 checksum: be4cf64ea2ae91c790f7ed6c16150096
    http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13.orig.tar.gz
      MD5 checksum: e28b3b656449a5a2f9080286ae3d743e

  Alpha architecture:
    http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-ssl_1.3.9.13-3_alpha.deb
      MD5 checksum: dd6721af1bd26d432100f48a73132685

  ARM architecture:
    http://security.debian.org/dists/stable/updates/main/binary-arm/apache-ssl_1.3.9.13-3_arm.deb
      MD5 checksum: 0ebea4bced78bc9ec3c498e9d2462538

  Intel IA-32 architecture:
    http://security.debian.org/dists/stable/updates/main/binary-i386/apache-ssl_1.3.9.13-3_i386.deb
      MD5 checksum: 8551cbe86346c1f3a3a798f41d38d615

  Motorola 680x0 architecture:
    http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-ssl_1.3.9.13-3_m68k.deb
      MD5 checksum: 4519cf04c743957a1651f017c86d2ff9

  PowerPC architecture:
    http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-ssl_1.3.9.13-3_powerpc.deb
      MD5 checksum: 804b460e0142b6effc026f64ce6b12cd

  Sun Sparc architecture:
    http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-ssl_1.3.9.13-3_sparc.deb
      MD5 checksum: ef3947e2571ddba01a661cdbe27673e6

これらのファイルは次の版の安定版リリース時そちらに移されます。

- --
- ----------------------------------------------------------------------------
apt-get: deb http://security.debian.org/ stable/updates main
dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
------>8------------>8------------>8------------>8------------>8
-- 
Seiji Kaneko                         skaneko@xxxxxxxxxxxx
---------------------------------------------------------

Prev by Date: [debian-users:29329] Re: apache+PHP4+SNMP
Next by Date: [debian-users:29331] ALSA Module をコンパイルできません。
Previous by thread: [debian-users:29325] Re: ssh port forwarding problem
Next by thread: [debian-users:29331] ALSA Module をコンパイルできません。
Index(es):
- Date
- Thread