1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
|
<define-tag description>Mehrere Verwundbarkeiten</define-tag>
<define-tag moreinfo>
<p>Laut David Wagner, iDEFENSE und dem Apache HTTP-Server Projekt wurden
mehrere entfernt ausnutzbare Verwundbarkeiten im Apache-Paket entdeckt, einem
häufig verwendeten Webserver. Diese Verwundbarkeiten könnten es einem
Angreifer erlauben, eine Diensteverweigerung (<q>Denial of Service</q>) gegen einen Server zu verhängen oder
Site-übergreifende Skripting-Angriffe durchzuführen. Das <q>Common
Vulnerabilities and Exposures (CVE)</q>-Projekt identifiziert die folgenden
Verwundbarkeiten:</p>
<ol>
<li>CAN-2002-0839: Eine Verwundbarkeit existiert auf Plattformen, die System
V Shared Memory zur internen Kommunikation verwenden. Diese Verwundbarkeit
erlaubt es einem Angreifer, Programme mit der Apache-UID auszuführen, um
das Apache Shared Memory Kommunikationsbrett-Format auszunutzen und ein
Signal an jeden Prozess als root zu senden oder einen lokalen
Diensteverweigerungs- (<q>Denial of Service</q>-)Angriff durchzuführen.</li>
<li>CAN-2002-0840: Apache ist mit der Standard-404-Seite für eine
Site-übergreifende Skripting-Verwundbarkeit auf jedem Web-Server anfällig,
der auf einer Domain mit Wildcard DNS-Abfragen aufgesetzt ist.</li>
<li>CAN-2002-0843: Es gab einige mögliche Überläufe im Werkzeug ApacheBench
(ab), die von einem böswilligen Server ausgenutzt werden konnten.</li>
<li>CAN-2002-1233: Ein Problem bei der Ausführung der htpasswd und htdigest
Programme ermöglicht es einem böswilligen lokalen Benutzer, den Inhalt
einer Passwort-Datei zu lesen oder sogar zu modifizieren, oder einfach
Dateien als der Benutzer zu erstellen und überschreiben, der das htpasswd
(oder entsprechend das htdigest) Programm verwendet.</li>
<li>CAN-2001-0131: htpasswd und htdigest in Apache 2.0a9, 1.3.14 und
weiteren erlaubt es lokalen Benutzern, willkürliche Dateien mittels eines
Symlink-Angriff zu überschreiben.
<p>Dies ist die selbe Verwundbarkeit wie CAN-2002-1233, die bereits in
Potato behoben wurde, aber später verloren gegangen ist und niemals in
Upstream eingebracht wurde.</p></li>
<li>NO-CAN: Mehrere Pufferüberläufe wurden im ApacheBench (ab) Werkzeug
entdeckt, die von einem entfernten Server ausgenutzt werden könnten, indem
er eine sehr lange Zeichenkette zurückliefert.</li>
</ol>
<p>Diese Probleme wurden in Version 1.3.26-0woody3 für die aktuelle stable
Distribution (Woody) und in Version 1.3.9-14.3 für die alte stable
Distribution (Potato) behoben. Reparierte Pakete für die unstable Distribution
(Sid) werden bald erwartet.</p>
<p>Wir empfehlen Ihnen, Ihr Apache-Paket unverzüglich zu aktualisieren.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-187.data"
#use wml::debian::translation-check translation="891ef4d5e1068c7947c1642f919f6caef4132d17"
# $Id$
|
