blob: b474a9be08bb574c728c5f754e0e3c18e41fa723 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
|
<define-tag description>bufferoverløb</define-tag>
<define-tag moreinfo>
<p>Ed Moyle
<a href="http://archives.neohapsis.com/archives/bugtraq/2002-02/0313.html">\
fandt</a> for nylig et bufferoverløb i Apache-SSL og mod_ssl.
Med "session caching" slået til serialisere mod_ssl SSL-sessionsvariable, for
at gemme dem til senere brug. Disse variable blev gemt i en buffer med en
bestemt størrelse, uden korrekt kontrol for overskridelse af bufferens
grænser.</p>
<p>For at udnytte overløbet skal serveren være sat op til at kræve
klientcertifikater, og en angriber skal have fat i et omhyggeligt udformet
klientcertifikat, signeret af certificeringsmyndighed som serveren stoler på.
Hvis disse betingelser er opfyldt, er det muligt for angriberen at udføre
vilkårlig kode på serveren.</p>
<p>Problemet er rettet i version 1.3.9.13-4 af Apache-SSL og version
2.4.10-1.3.9-1potato1 af libapache-mod-ssl i Debians stabile distribution,
foruden version 1.3.23.1+1.47-1 af Apache-SSL og version 2.8.7-1 af
libapache-mod-ssl i Debians test- og ustabile distribution.</p>
<p>Vi anbefaler at du opgraderer dine Apache-SSL- og mod_ssl-pakker.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-120.data"
#use wml::debian::translation-check translation="e3a0682a4360857d18b4fc69a7353cbfc22635f8"
|
