1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
|
<define-tag description>Angriff aus der Ferne</define-tag>
<define-tag moreinfo>
Wir haben Berichte erhalten, dass das Apache-Paket, wie es in der
stabilen Debian-Distribution enthalten ist, für das Problem langer
Pfadnamen mit Schrägstrichen (»artificially long slash path directory
listing vulnerability«) verwundbar ist. Dieses ist auf <a
href="http://www.securityfocus.com/vdb/bottom.html?vid=2503">SecurityFocus</a>
beschrieben.
<p>Diese Verwundbarkeit wurde von Dan Harkless auf bugtraq bekanntgegeben.
<p>Zitat des Eintrags auf SecurityFocus für dieses Problem:
<blockquote>
<p>Ein Problem im Paket kann Verzeichnis-Indizes sowie das Ermitteln
von Pfaden gestatten. In der voreingestellten Konfiguration
aktiviert Apache mod_dir, mod_autoindex und mod_negotiation. Wenn
eine manuelle Anfrage an den Apache gestellt wird, die aus einem
langen, künstlich erstellten, Pfadnamen besteht, können diese Module
dazu gebracht werden, sich falsch zu verhalten und die Fehlerseite zu
umgehen, so dass die Liste mit den Verzeichnis-Inhalten angezeigt
wird.
<p>Diese Verwundbarkeit macht es böswilligen Benutzern auf entfernten
Rechnern möglich, einen speziellen Angriff zu fahren, um
Informationen zu erhalten, die möglicherweise in der Kompromittierung
des Systems resultieren. Diese Verwundbarkeit betrifft alle
Versionen von Apache bis zu 1.3.19.
</blockquote>
<p>Dieses Problem wurde in apache-ssl 1.3.9-13.3 und apache 1.3.9-14
behoben. Wir empfehlen Ihnen, dass Sie Ihre Pakete umgehend erneuern.</p>
<p>Achtung: Die MD5Sum der .dsc und .diff.gz Dateien passten nicht zusammen,
da sie nachträglich vom stable Release kopiert wurden, der Inhalt der .diff.gz
Datei ist jedoch geprüft worden und der selbe.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2001/dsa-067.data"
#use wml::debian::translation-check translation="4e24061190d31f80509d49a1aaf22333a7c0f957" mindelta="1"
# $Id$
|