-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : apache
RESUMO : Vulnerabilidades remotas no Apache < 1.3.22
DATA : 2001-10-18 18:54:00
ANÚNCIO : CLA-2001:430
EDIÇÕES : 5.0, prg graficos, ecommerce, 5.1, 6.0, 7.0

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
 O Apache é um servidor web robusto e confiável.
 
 Problemas de segurança foram encontrados nas versões do Apache
 distribuídas em todas as versões do Conectiva Linux. As
 vulnerabilidades resolvidas por essa atualização são as seguintes:
 
 * Uma requisição com um cabeçalho Host: especialmente construído
 poderia permitir que qualquer arquivo com a extensão .log no sistema
 seja sobrescrito devido a um problema no programa split-logfile. O
 Conectiva Linux não fornece o programa split-logfile, portanto
 usuários que tenham instalado esse script manualmente devem verificar
 se estão vulneráveis. [1]
 
 * Quando Multiviews são usados para negociar o índice de diretórios,
 uma requisição feita com URI /?M=D poderia retornar uma listagem de
 diretório ao invés da página de índice esperada. [2] [3]
 
 Adicionalmente, esta atualização resolve um problema relacionado ao
 mod_bandwidth no Conectiva Linux 7.0. [4]
 
 
 REFERÊNCIAS
 
 [1] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0730
 [2] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0731
 [3] http://www.securityfocus.com/bid/3009
 [4] http://bugzilla.conectiva.com.br/show_bug.cgi?id=4371

SOLUÇÃO
 É recomendado que os usuários de Apache atualizem seus pacotes.

PACOTES RPM
ftp://atualizacoes.conectiva.com.br/5.0/SRPMS/apache-1.3.22-U50_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/apache-1.3.22-U50_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/apache-devel-1.3.22-U50_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/apache-doc-1.3.22-U50_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.1/SRPMS/apache-1.3.22-U51_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/5.1/i386/apache-1.3.22-U51_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.1/i386/apache-devel-1.3.22-U51_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.1/i386/apache-doc-1.3.22-U51_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/SRPMS/apache-1.3.22-U60_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/apache-1.3.22-U60_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/apache-devel-1.3.22-U60_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/apache-doc-1.3.22-U60_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/SRPMS/apache-1.3.22-U70_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/apache-1.3.22-U70_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/apache-devel-1.3.22-U70_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/apache-doc-1.3.22-U70_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/SRPMS/apache-1.3.22-U50_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/apache-1.3.22-U50_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/apache-devel-1.3.22-U50_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/apache-doc-1.3.22-U50_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/SRPMS/apache-1.3.22-U50_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/apache-1.3.22-U50_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/apache-devel-1.3.22-U50_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/apache-doc-1.3.22-U50_1cl.i386.rpm

INSTRUÇÕES ADICIONAIS
 Usuários do Conectiva Linux 6.0 ou superior podem usar apt para fazer
 atualizações de pacotes RPM:
 - se a linha abaixo ainda não existir no arquivo /etc/apt/sources.list,
 acrescente-a:

 rpm [cncbr] ftp://atualizacoes.conectiva.com.br versão/conectiva updates

  (substitua "versão" pela sua versão. Por exemplo, 7.0)

 - execute: apt-get update
 - seguido por: apt-get upgrade

 Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
 http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE7z0Jj42jd0JmAcZARAq58AJ9v4g24reYIApcRXBZgJyM69JycXACg8pC0
JYw7KkJinrFwDlcxB94DCwQ=
=EuJv
-----END PGP SIGNATURE-----

• Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]