[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:33545] [Translate] [SECURITY] [DSA-135-1] buffer overflow / DoS in libapache-mod-ssl



かねこです。
URL 等は元記事を確認ください。

------>8------------>8------------>8------------>8------------>8
- ------------------------------------------------------------------------
Debian Security Advisory DSA-135-1                   security@debian.org
http://www.debian.org/security/                    Robert van der Meulen
July  2, 2002
- ------------------------------------------------------------------------


Package        : libapache-mod-ssl
Problem type   : バッファオーバフロー / サービス不能攻撃
Debian-specific: no

libapache-mod-ssl は apache ウェブサーバに SSL 機能を提供するパッケージで
す。
先日、.htaccess ファイルを扱う処理で問題が発見されました。この問題を攻撃
することで、(ExecCGI および suexec の設定によらず) ウェブサーバユーザ権限
で任意のコードの実行、サービス不能攻撃 (apache サーバの子プロセスを殺す)
および apache の子プロセスの制御を奪うことなどが、特別に作成された .htaccess
ファイルを与えることで可能になります。
この脆弱性に関するより詳しい情報は

http://online.securityfocus.com/bid/5084

をご覧下さい。

この脆弱性は安定版 (stable) では libapache-mod-ssl_2.4.10-1.3.9-1potato2
パッケージで修正されており、テスト版 (testing) では
libapache-mod-ssl_2.8.9-2 パッケージで修正されています。すぐにアップグレ
ードすることを薦めます。

wget url
	でファイルを取得できます。
dpkg -i file.deb
        で参照されたファイルをインストールできます。


Debian GNU/Linux 2.2 愛称 potato
- ---------------------------------

  Potato は alpha, arm, i386, m68k, powerpc と sparc の各アーキテクチ
 ャ向けにリリースされています。
  現在、m68k 向けパッケージはまだ準備できていません。


  ソースアーカイブ:

    http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato2.dsc
      MD5 checksum:	5b2cb207ba8214f52ffbc28836dd8dc4
    http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato2.diff.gz
      MD5 checksum:	29eef2b3307f00d92eb425ac669dabec
    http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9.orig.tar.gz
      MD5 checksum:	cb0f2e07065438396f0d5df403dd2c16

  Architecture independent packages:

    http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl-doc_2.4.10-1.3.9-1potato2_all.deb
      MD5 checksum:	ebd8154f614e646b3a12980c8db606b6

  alpha architecture (DEC Alpha)

    http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato2_alpha.deb
      MD5 checksum:	a3d73598e692b9c0bb945a52a00a363c

  arm architecture (ARM)
    http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato2_arm.deb
      MD5 checksum:	11e1085504430cacadd0255a0743b80a

  i386 architecture (Intel ia32)
    http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato2_i386.deb
      MD5 checksum:	a1fd7d6a7ef3506ee0f94e56735d3d08

  powerpc architecture (PowerPC)
    http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato2_powerpc.deb
      MD5 checksum:	0f01742c2a77f2728baea4e1e9ad7ff0

  sparc architecture (Sun SPARC/UltraSPARC)
    http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato2_sparc.deb
      MD5 checksum:	4982a209adc93acbf50a650a3569d217

  These packages will be moved into the stable distribution on its next
  revision.

Debian GNU/Linux 3.0 alias woody
- --------------------------------

  Woody will be released for alpha, arm, hppa, i386, ia64, m68k, mips,
  mipsel, powerpc, s390 and sparc.
  Packages for ia64 and hppa are not available for the moment.

  Source archives:

    http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.dsc
      MD5 checksum:	7cce5c97bd3cf35c8782d54a25138165
    http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.diff.gz
      MD5 checksum:	fc9f20e6d3bece6f0d3bad067c61d56a

  Architecture independent packages:
    http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl-doc_2.8.9-2_all.deb
      MD5 checksum:	541257e99c523141625f5fc43fb3dec4

  alpha architecture (DEC Alpha)
    http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2_alpha.deb
      MD5 checksum:	712e406d8be713047f3e46bbf58269a5

  arm architecture (ARM)
    http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2_arm.deb
      MD5 checksum:	8ce3d4d45f45423a6c6b7d795c319d33

  i386 architecture (intel ia32)
    http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2_i386.deb
      MD5 checksum:	06733dc49c228230e5713f34eae7f8b0

  m68k architecture
    http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2_m68k.deb
      MD5 checksum: 	e5a8518aac6d08bb5e9cc50195d336e3

  mips architecture
    http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2_mips.deb
      MD5 checksum:	dde883d6ee72f3b29fc324d9cb497670

  mipsel architecture
    http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2_mipsel.deb
      MD5 checksum:	a80756857248358c7973a5b0fb9372e2

  powerpc architecture (PowerPC)
    http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2_powerpc.deb
      MD5 checksum:	715876a54ddddf1e17e4c2ec9d2f5eea

  s390 architecture (S390)
    http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2_s390.deb
      MD5 checksum:	1a31f564ceba0ca82d9892d023caffd0

- --
- ----------------------------------------------------------------------------
apt-get: deb http://security.debian.org/ stable/updates main
dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
------>8------------>8------------>8------------>8------------>8
-- 
Seiji Kaneko                         skaneko@xxxxxxxxxxxx
---------------------------------------------------------