OSEC

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com
 
From: secureconectiva.com.br
Date: Mon Mar 04 2002 - 10:54:00 CST

  • Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

    -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA1

    - -------------------------------------------------------------------------
    ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
    - -------------------------------------------------------------------------

    PACOTE : apache
    RESUMO : Buffer overflow no módulo mod_ssl do apache
    DATA : 2002-03-04 13:53:00
    ANÚNCIO : CLA-2002:465
    EDIÇÕES : 5.0, prg graficos, ecommerce, 5.1, 6.0, 7.0

    - -------------------------------------------------------------------------

    DESCRIÇÃO DO PROBLEMA
     "mod_ssl"[1] é um módulo para o Apache que permite o uso de conexões
     criptografadas ("https://") com o servidor web.
     
     Ed Moyle <emoylescsnet.csc.com> anunciou[2] uma vulnerabilidade[3]
     de buffer overflow no módulo mod_ssl. Este módulo não faz parte da
     distribuição original do apache, mas é usado e ativado por padrão no
     pacote apache do Conectiva Linux.
     
     Um atacante remoto poderia explorar esta vulnerabilidade para
     executar comandos arbitrários no servidor que estiver rodando apache
     com o módulo mod_ssl ativado. Uma provável via de ataque seria
     utilizar autenticação baseada em certificados, onde o atacante
     utilizaria um certificado cuidadosamente preparado para explorar esta
     vulnerabilidade. Note que esta falha acontece apenas após as rotinas
     de verificação do certificado do cliente, ou seja, precisaria ser um
     certificado assinado por uma CA (autoridade certificadora)
     reconhecida e aceita pelo servidor.

    SOLUÇÃO
     É recomendado que todos os usuários façam a atualização do pacote
     apache. O suporte a SSL pode ser desabilitado caso não seja possível
     executar a atualização imediatamente, bastando remover o parâmetro
     "-DSSL" no script /etc/rc.d/init.d/httpd e reiniciar o servidor.
     
     IMPORTANTE: após instalar os pacotes novos, é necessário que o
     servidor apache seja reiniciado. Para isso, execute, como root:
     
     service httpd stop
     
     (verifique com ps ax|grep httpd se todos os processos httpd foram
     encerrados, em um servidor carregado isso pode demorar alguns
     segundos)
     
     service httpd start
     
     
     REFERÊNCIAS
     1. http://www.modssl.org
     2. http://online.securityfocus.com/archive/1/258646
     3. http://online.securityfocus.com/bid/4189

    PACOTES RPM
    ftp://atualizacoes.conectiva.com.br/5.0/SRPMS/apache-1.3.22-1U50_3cl.src.rpm
    ftp://atualizacoes.conectiva.com.br/5.0/i386/apache-1.3.22-1U50_3cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/5.0/i386/apache-devel-1.3.22-1U50_3cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/5.0/i386/apache-doc-1.3.22-1U50_3cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/5.1/SRPMS/apache-1.3.22-1U51_3cl.src.rpm
    ftp://atualizacoes.conectiva.com.br/5.1/i386/apache-1.3.22-1U51_3cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/5.1/i386/apache-doc-1.3.22-1U51_3cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/5.1/i386/apache-devel-1.3.22-1U51_3cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/6.0/SRPMS/apache-1.3.22-1U60_3cl.src.rpm
    ftp://atualizacoes.conectiva.com.br/6.0/RPMS/apache-1.3.22-1U60_3cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/6.0/RPMS/apache-devel-1.3.22-1U60_3cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/6.0/RPMS/apache-doc-1.3.22-1U60_3cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/7.0/SRPMS/apache-1.3.22-1U70_3cl.src.rpm
    ftp://atualizacoes.conectiva.com.br/7.0/RPMS/apache-1.3.22-1U70_3cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/7.0/RPMS/apache-devel-1.3.22-1U70_3cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/7.0/RPMS/apache-doc-1.3.22-1U70_3cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/SRPMS/apache-1.3.22-1U50_3cl.src.rpm
    ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/apache-1.3.22-1U50_3cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/apache-devel-1.3.22-1U50_3cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/apache-doc-1.3.22-1U50_3cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/SRPMS/apache-1.3.22-1U50_3cl.src.rpm
    ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/apache-1.3.22-1U50_3cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/apache-devel-1.3.22-1U50_3cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/apache-doc-1.3.22-1U50_3cl.i386.rpm

    INSTRUÇÕES ADICIONAIS
     Usuários do Conectiva Linux 6.0 ou superior podem usar apt para fazer
     atualizações de pacotes RPM:
     - se a linha abaixo ainda não existir no arquivo /etc/apt/sources.list,
     acrescente-a:

     rpm [cncbr] ftp://atualizacoes.conectiva.com.br versão/conectiva updates

      (substitua "versão" pela sua versão. Por exemplo, 7.0)

     - execute: apt-get update
     - seguido por: apt-get upgrade

     Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
     http://distro.conectiva.com.br/atualizacoes/#apt

    - -------------------------------------------------------------------------
    Todos os pacotes listados aqui também são assinados com a chave GPG da
    Conectiva. A chave, bem como instruções de como importá-la, pode ser
    encontrada em http://distro.conectiva.com.br/seguranca/chave/.
    Instruções para checar a assinatura dos pacotes podem ser encontradas em
    http://distro.conectiva.com.br/seguranca/politica/.

    - -------------------------------------------------------------------------
    Todos os anúncios de atualizações são armazenados e podem ser consultados
    na página http://distro.conectiva.com.br/atualizacoes/.
    Instruções genéricas para atualizações são fornecidas na mesma página.

    - -------------------------------------------------------------------------
    A Conectiva possui uma lista pública para discutir assuntos de segurança
    relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
    para obter mais informações.

    - -------------------------------------------------------------------------
    cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
    cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
    -----BEGIN PGP SIGNATURE-----
    Version: GnuPG v1.0.6 (GNU/Linux)
    Comment: For info see http://www.gnupg.org

    iD8DBQE8g6an42jd0JmAcZARAkjAAKCyY7lgeth6JPz8x1nUJlrE2uTJJACgzm4M
    Aap2PxYHNj3bMqpzuR2/PZM=
    =YH1z
    -----END PGP SIGNATURE-----