[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:35195] [Translate] [SECURITY] [DSA 188-1] New Apache-SSL packages fix several vulnerabilities
かねこです。
URL 等は元記事を確認ください。
------>8------------>8------------>8------------>8------------>8
- --------------------------------------------------------------------------
Debian Security Advisory DSA 188-1 security@debian.org
http://www.debian.org/security/ Martin Schulze
November 5th, 2002 http://www.debian.org/security/faq
- --------------------------------------------------------------------------
Package : apache-ssl
Vulnerability : 複数
Problem-Type : リモート及びローカル
Debian-specific: no
CVE Id : CAN-2002-0839 CAN-2002-0840 CAN-2002-0843 CAN-2001-0131 CAN-2002-1233
BugTraq ID : 5847 5884 5887
iDEFENSE 社の David Wagner さん、及び Apache HTTP Server Project から、広
く用いられている Apache ウェブサーバに複数のリモートから攻撃可能な脆弱性
が発見されたとの報告を受けました。Apache と Apache-SSL パッケージでは殆ど
のコードは共通のものですので、脆弱性も共通に存在します。これらの脆弱性に
より、攻撃者はサーバをサービス不能にすることや、クロスサイトスクリプティ
ング攻撃や、他のウェブサイトのユーザから Cookie を奪取したりすることが可
能です。また、収録されている従来互換プログラム htdigest、htpasswd や
ApacheBench を CGI 経由で呼んでいる場合、これも攻撃可能です。また、
htdigest と htpasswd は安全でない一時ファイルの作成を行っているため、ロー
カルユーザから攻撃可能です。The Common Vulnerabilities and Exposures (CVE)
プロジェクトでは、以下の問題を認識しています。
1. CAN-2002-0839: System V 共有メモリを使ったスコアボードを使用している
プラットホームに脆弱性があります。Apache のユーザ ID でプロセスを実行
可能なユーザから、Apache のスコアボードフォーマットを攻撃することで、
root 権限で任意のプロセスにシグナルを送ることができ、サービス不能攻撃
を起こせます。
2. CAN-2002-0840: Apache は、Wildcard DNS 検索を許しているドメインでホス
ティングされている場合、標準の 404 エラーページがクロスサイトスクリプ
ティング攻撃可能です。
3. CAN-2002-0843: ApachBench (ab) ユーティリティにはオーバフローの可能性
があり、悪意を持って作成されたサーバから攻撃可能です。
4. CAN-2002-1233: htpasswd と htdigest プログラム間に競合を起こす可能性が
あり、これを悪意を持ったローカルユーザから攻撃することで、passwd ファ
イルの内容でファイルを容易に作成または上書きしたり、htpasswd または
htdigest プログラムを実行しているユーザの権限でファイルを作成または上
書きすることが可能です。
5. CAN-2001-0131: Apache 2.0a9、1.3.1 ほかの htpasswd と htdigest により、
シンボリックリンク攻撃を用いてローカルユーザが任意のファイルの上書きが
可能です。
これは CAN-2002-1233 と同じ脆弱性で、いったんは potato で直されていた
ものですが、その後修正が抜け、またアップストリームに反映されていなか
ったものです。
6. CAN なし: ApacheBench (ab) には幾つかのバッファオーバフロー箇所があり、
リモートのサーバから極めて長い文字列を返すことで攻撃可能です。
この問題は、現安定版 (stable) woody のバージョン 1.3.26.1+1.48-0woody3
で、前安定版 (stable) potato ではバージョン 1.3.9.13-4.2 で、各々修正さ
れています。不安定版 (unstable) sid 向けのパッケージは近日中に用意される
予定です。
直ぐに Apache-SSL パッケージをアップグレードすることを勧めます。
wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。
apt-get パッケージマネージャを使っているなら、以下記載の sources.list
を用いて、次のコマンドを使ってください。
apt-get update
これは内部データベースを更新します。
apt-get upgrade
これで修正されたパッケージをインストールします。
本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。
Debian GNU/Linux 2.2 愛称 potato
- --------------------------------
ソースアーカイブ:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13-4.2.dsc
Size/MD5 checksum: 741 9b4125e33235ec9635042f439cb00f56
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13-4.2.diff.gz
Size/MD5 checksum: 32210 b182c280fef5c37ee5a5beab73ad9719
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13.orig.tar.gz
Size/MD5 checksum: 2061578 e28b3b656449a5a2f9080286ae3d743e
Alpha architecture:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13-4.2_alpha.deb
Size/MD5 checksum: 464208 1a4a83064ea982b2c65c6b996089938c
ARM architecture:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13-4.2_arm.deb
Size/MD5 checksum: 412988 312bd6f05abf39042bc3f1b8decf52e6
Intel IA-32 architecture:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13-4.2_i386.deb
Size/MD5 checksum: 407672 06e8c865ae2e345ee0d0c79e784d4882
Motorola 680x0 architecture:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13-4.2_m68k.deb
Size/MD5 checksum: 396318 2ea46b30e0c7c0d1925736b823a6b4a3
PowerPC architecture:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13-4.2_powerpc.deb
Size/MD5 checksum: 419722 1439a5ea30b4eee1785aca69f4c5a91f
Sun Sparc architecture:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.9.13-4.2_sparc.deb
Size/MD5 checksum: 421204 89b2c9d9c14720240ef9d85f27edd010
Debian GNU/Linux 3.0 愛称 woody
- ------------------------------------
ソースアーカイブ:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3.dsc
Size/MD5 checksum: 755 53845132be2c3c7513caa89d28e0d76a
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3.diff.gz
Size/MD5 checksum: 38862 95a88e7c3c47467ca5387ebb6a30f899
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48.orig.tar.gz
Size/MD5 checksum: 2949638 aeab5d0b18d5275628276e0e4f6031e2
Alpha architecture:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_alpha.deb
Size/MD5 checksum: 463040 a6b257bee720e61cf2285fd791872ccf
ARM architecture:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_arm.deb
Size/MD5 checksum: 420702 b986bbf04d32abbefcc063f585c732e5
Intel IA-32 architecture:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_i386.deb
Size/MD5 checksum: 411798 4a11dfd3197fd18dc39ecb29708c1fe0
Intel IA-64 architecture:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_ia64.deb
Size/MD5 checksum: 519094 6b206d1296376e26106c5ea51d51e56c
HP Precision architecture:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_hppa.deb
Size/MD5 checksum: 448432 3d4728d15521ec9d71415e17adc0dedb
Motorola 680x0 architecture:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_m68k.deb
Size/MD5 checksum: 406288 2775fac4b6755d8fb1bf35f5293a09e8
Big endian MIPS architecture:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_mips.deb
Size/MD5 checksum: 433814 dc34a78dba69aac3dcbb9a90418eef1c
Little endian MIPS architecture:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_mipsel.deb
Size/MD5 checksum: 433178 e33531174fa2f640688f8b93d6e23501
PowerPC architecture:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_powerpc.deb
Size/MD5 checksum: 424346 57b86247482ef3f8c1220c48b8d2fe0a
IBM S/390 architecture:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_s390.deb
Size/MD5 checksum: 422288 f4bef442fe346e0592b06eeeaaa1e020
Sun Sparc architecture:
http://security.debian.org/pool/updates/main/a/apache-ssl/apache-ssl_1.3.26.1+1.48-0woody3_sparc.deb
Size/MD5 checksum: 421892 d646fb279d579741c57a60a393c97f88
これらのファイルは次の版の安定版リリース時そちらに移されます。
- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8
--
Seiji Kaneko skaneko@xxxxxxxxxxxx
--------------------------- http://plaza25.mbn.or.jp/~efialtes
足跡 = 55A4 898A C765 F20A 1693 7882 579A 3339 D6ED 97E8