OSEC

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com
 
From: secureconectiva.com.br
Date: Thu Jan 18 2001 - 09:54:32 CST

  • Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

    -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA1

    - -------------------------------------------------------------------------
    ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
    - -------------------------------------------------------------------------

    PACOTE : php4
    RESUMO : Problemas com diretivas por diretório e hosts virtuais
    DATA : 2001-01-18 13:52:00
    ANÚNCIO : CLA-2001:373
    EDIÇÕES : 6.0

    - -------------------------------------------------------------------------

    DESCRIÇÃO DO PROBLEMA
     O módulo php4 enviado com o Conectiva Linux 6.0 possui dois problemas
     de segurança recentemente divulgados pela equipe de desenvolvimento
     do PHP a partir de um relatório feito por James Moore:
     
     1) É possível especificar diretivas PHP por diretório no servidor web
     Apache. Na versão vulnerável, é possível enviar ao servidor uma
     requisição HTTP cuidadosamente construída para fazer com que a
     próxima página servida pelo apache tenha valores diferentes para
     estas diretivas. Em algumas situações, isto poderia se tornar um
     problema de segurança dependendo das diretivas existentes e dos
     valores utilizados. Um atacante teria que ter um conhecimento
     detalhado da estrutura do site e das diretivas usadas para poder
     tirar proveito desta falha, bem como conseguir que a segunda
     requisição fosse servida pelo mesmo processo httpd, o que pode ser
     difícil em um site bem movimentado;
     
     2) É possível instalar o php e controlar sua ativação através das
     diretivas 'engine=on' e 'engine=on'. Isso pode ser feito por
     diretório ou por host virtual, por exemplo. Nas versões vulneráveis,
     uma diretiva do tipo 'engine=off' em um host virtual poderia se
     propagar para os outros hosts virtuais hospedados na máquina,
     efetivamente desligando o php nestes hosts. Isso poderia resultar em
     código fonte PHP sendo exibido nos navegadores dos clientes ao invés
     de ser executado no servidor.

    SOLUÇÃO
     É recomendado que todos os usuários de PHP atualizem os pacotes
     utilizados.
     Uma medida temporária para o segundo problema é habilitar
     explicitamente o php nos hosts virtuais que efetivamente o usam se
     houver alguma desativação explícita em outros hosts virtuais da mesma
     máquina.
     
     As versões 3.0.x do php não são afetadas por estes problemas.

    PACOTES RPM
    ftp://atualizacoes.conectiva.com.br/6.0/SRPMS/php4-4.0.4pl1-1cl.src.rpm
    ftp://atualizacoes.conectiva.com.br/6.0/RPMS/php4-4.0.4pl1-1cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/6.0/RPMS/php4-doc-4.0.4pl1-1cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/6.0/RPMS/php4-imap-4.0.4pl1-1cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/6.0/RPMS/php4-ldap-4.0.4pl1-1cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/6.0/RPMS/php4-mysql-4.0.4pl1-1cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/6.0/RPMS/php4-pgsql-4.0.4pl1-1cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/6.0/RPMS/mod_php4-4.0.4pl1-1cl.i386.rpm

    INSTRUÇÕES ADICIONAIS
     Usuários do Conectiva Linux 6.0 ou superior podem usar apt para fazer
     atualizações de pacotes RPM:
     - se a linha abaixo ainda não existir no arquivo /etc/apt/sources.list,
     acrescente-a:

     rpm [cncbr] ftp://atualizacoes.conectiva.com.br 6.0/conectiva updates

     - execute: apt-get update
     - seguido por: apt-get upgrade

     Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
     http://distro.conectiva.com.br/atualizacoes/#apt

    - -------------------------------------------------------------------------
    Todos os pacotes listados aqui também são assinados com a chave GPG da
    Conectiva. A chave, bem como instruções de como importá-la, pode ser
    encontrada em http://distro.conectiva.com.br/seguranca/chave/.
    Instruções para checar a assinatura dos pacotes podem ser encontradas em
    http://distro.conectiva.com.br/seguranca/politica/.

    - -------------------------------------------------------------------------
    Todos os anúncios de atualizações são armazenados e podem ser consultados
    na página http://distro.conectiva.com.br/atualizacoes/.
    Instruções genéricas para atualizações são fornecidas na mesma página.

    - -------------------------------------------------------------------------
    A Conectiva possui uma lista pública para discutir assuntos de segurança
    relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
    para obter mais informações.

    - -------------------------------------------------------------------------
    cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
    cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
    -----BEGIN PGP SIGNATURE-----
    Version: GnuPG v1.0.4 (GNU/Linux)
    Comment: For info see http://www.gnupg.org

    iD8DBQE6ZxG342jd0JmAcZARAiTHAJkBLVpNElq10KJxBKgU8P85To6nBgCaAhn4
    LdiuQC5A9HglXe0D14dZwNo=
    =07wH
    -----END PGP SIGNATURE-----