1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
|
<define-tag description>explotable de forma remota</define-tag>
<define-tag moreinfo>
Hemos recibido informes de que el paquete «apache», tal y como se
incluye en la distribución «estable» de Debian, es vulnerable a la
«vulnerabilidad de listado de directorios mediante ruta
artificialmente larga» (en inglés <i>artificially long slash path
directory listing vulnerability</i>), tal y como se describe en <a
href="http://www.securityfocus.com/vdb/bottom.html?vid=2503">SecurityFocus</a>.
<p>Esta vulnerabilidad la anunció Dan Harkless en bugtraq.
<p>Citando la entrada de SecurityFocus para esta vulnerabilidad:
<blockquote>
<p>Un problema en el paquete podría permitir la indexación de
directorios, y descubrimiento de rutas. En una configuración por
defecto, Apache activa mod_dir, mod_autoindex, y mod_negociation. Sin
embargo, colocando en el servidor Apache una petición especialmente
creada que consista en un nombre de ruta muy largo creado
artificialmente usando numerosas barras de separación, puede provocar
que los módulos se comporten de forma extraña, haciendo posible que
se escape de la página de error, y se obtenga un listado de los
contenidos del directorio.
<p>Esta vulnerabilidad hace posible que un usuario malicioso remoto
lance un ataque de búsqueda de información, lo cual potencialmente
resulta en un compromiso del sistema. Además, esta vulnerabilidad
afecta a todas las veriones de Apache anteriores a la 1.3.19.
</blockquote>
<p>Este problema se ha arreglado en apache-ssl 1.3.9-13.3 y apache
1.3.9-14. Recomendamos que actualice sus paquetes inmediatamente.
<p>Precaución: La suma MD5 de los ficheros .dsc y .diff.gz no
concuerdan pues fueron copiados desde la distribución estable.
Sin embargo, se ha comprobado que el contenido del fichero .diff.gz
es el mismo.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2001/dsa-067.data"
#use wml::debian::translation-check translation="4e24061190d31f80509d49a1aaf22333a7c0f957"
|
