blob: 204a203ab73cc3cf28762092d0c06016ff2c341b (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
|
<define-tag description>flere sårbarheder</define-tag>
<define-tag moreinfo>
<p>Ifølge David Wagner, iDEFENSE og Apache HTTP Server-projektet, er der
fundet flere sårbarheder som kan fjernudnyttes i Apache-pakken, en udbredt
webserver. Disse sårbarheder kan give en angriber mulighed for at sætte et
"denial of service"-angreb mod serveren i gang, eller udføre et "cross site
scripting"-angreb. Projektet "Common Vulnerabilities and Exposures" (CVE) har
fundet frem til følgende sårbarheder:</p>
<ol>
<li>CAN-2002-0839: Der er en sårbarhed på platforme som anvender
System V-scoreboards baseret på delt hukommelse. Denne sårbarhed giver en
angriber mulighed for at udføre programmer under Apaches UID for at
udnytte Apaches delt hukommelse-scoreboardformat og signalere til en
vilkårlig anden proces som root, eller forsage et lokalt "denial of
service"-angreb.</li>
<li>CAN-2002-0840: Apache er modtagelig overfor en "cross site
scripting"-sårbarhed i standard 404-siden på en webserver som befinder sig
på et domæne, der tillader wildcard-DNS-opslag.</li>
<li>CAN-2002-0843: Der var nogle mulige overløb i værktøjet ApacheBench (ab)
som kunne udnyttes af en ondsindet server.</li>
<li>CAN-2002-1233: En "race condition" i programmerne htpasswd og htdigest
giver en ondsindet lokal bruger mulighed for at læse eller endda ændre på
indholdet af adgangskodefilen, eller mulighed for let at oprette og
overskrive filer som den bruger, der kører htpasswd- (eller henholdsvis
htdigest-)programmet.</li>
<li>CAN-2001-0131: htpasswd og htdigest i Apache 2.0a9, 1.3.14, og andre
tillader lokale brugere at overskrive vilkårlige filer via et
symlink-angreb.
<p>Dette er den samme sårbarhed som CAN-2002-1233, der allerede er rettet i
potato, men senere forsvandt og aldrig blev tilføjet af opstrøm.</p></li>
<li>Ingen-CAN: Der er fundet flere bufferoverløb i værktøjet ApacheBench,
der kunne udnyttes af en fjernserver som returnerer meget lange
strenge.</li>
</ol>
<p>Disse problemer er rettet i version 1.3.26-0woody3 i den aktuelle stabile
distribution (woody) og i 1.3.9-14.3 i den gamle stabile distribution (potato).
Rettede pakker til den ustabile distribution (sid) forventes snart.</p>
<p>Vi anbefaler at du omgående opgraderer din Apache-pakke.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-187.data"
#use wml::debian::translation-check translation="891ef4d5e1068c7947c1642f919f6caef4132d17"
|