|
Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com |
From: secure
conectiva.com.brDate: Wed Jun 19 2002 - 15:35:37 CDT
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------
PACOTE : apache
RESUMO : Vulnerabilidade na transferência de dados usando codificação
DATA : 2002-06-19 17:30:00
ANÚNCIO : CLA-2002:498
EDIÇÕES : 6.0, 7.0, 8
- -------------------------------------------------------------------------
DESCRIÇÃO DO PROBLEMA
Apache[1] é o servidor web mais usado hoje em dia.
Mark Litchfield reportou para a equipe do Apache uma vulnerabilidade
remota de negação de serviço neste servidor web. Uma investigação
adicional feita pelos autores[3] revelou que esta vulnerabilidade
também poderia ser usada para executar código arbitrário em
plataformas unix de 64bits e em sistemas windows.
A vulnerabilidade está presente no código que lida com codificação de
transferências do tipo "chunk". Ao receber uma requisição
especificamente criada, o processo filho atendendo essa requisição
vai abortar com um erro de falha de segmentação. Isto não termina a
execução do servidor web, mas apenas deste processo filho. Em todo
caso, isto poderia ser usado para um ataque de negação de serviço se
for executado repetidas vezes em intervalos curtos de tempo. Em
plataformas onde a execução de código arbitrário através desta
vulnerabilidade é possível, este código seria executado com os
privilégios do usuário "nobody" ou "www" (dependendo da versão do
Conectiva Linux instalada), e não "root".
Após ser informada dessa vulnerabilidade, a equipe do Apache
trabalhou para liberar uma nova versão, a 1.3.26, que corrige esse
problema e está sendo disponibilizada nessa atualização.
Nota: versões 2.0.36 e anteriores do apache também estão vulneráveis
ao problema descrito aqui, mas não estão sendo atualizadas por este
anúncio por serem recentes e não estarem presentes em nenhuma das
distribuições da Conectiva.
SOLUÇÃO
Todos os usuários do servidor web apache devem fazer a atualização
imediatamente.
IMPORTANTE: após a atualização, o servidor apache precisa ser
reiniciado manualmente. Para isso, execute como root:
service httpd stop
(verifique com ps ax|grep httpd se todos os processos httpd foram
encerrados, em um servidor de alto tráfego isso pode demorar alguns
segundos)
service httpd start
REFERÊNCIAS
1. http://httpd.apache.org
2. http://www.cert.org/advisories/CA-2002-17.html
3. http://httpd.apache.org/info/security_bulletin_20020617.txt
PACOTES RPM
ftp://atualizacoes.conectiva.com.br/6.0/SRPMS/apache-1.3.26-1U60_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/apache-1.3.26-1U60_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/apache-devel-1.3.26-1U60_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/apache-doc-1.3.26-1U60_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/SRPMS/apache-1.3.26-1U70_4cl.src.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/apache-1.3.26-1U70_4cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/apache-devel-1.3.26-1U70_4cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/apache-doc-1.3.26-1U70_4cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/SRPMS/apache-1.3.26-1U8_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/apache-1.3.26-1U8_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/apache-devel-1.3.26-1U8_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/apache-doc-1.3.26-1U8_1cl.i386.rpm
INSTRUÇÕES ADICIONAIS
Usuários do Conectiva Linux 6.0 ou superior podem usar apt para fazer
atualizações de pacotes RPM:
- se a linha abaixo ainda não existir no arquivo /etc/apt/sources.list,
acrescente-a:
rpm [cncbr] ftp://atualizacoes.conectiva.com.br versão/conectiva updates
(substitua "versão" pela sua versão. Por exemplo, 7.0)
- execute: apt-get update
- seguido por: apt-get upgrade
Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
http://distro.conectiva.com.br/atualizacoes/#apt
- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.
- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.
- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.
- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org
iD8DBQE9EOsX42jd0JmAcZARAl0HAKCEBdTGUyC8LsN0riwZuTnA1+EdmwCffGQO
IGyB/yIB7nNPkZvO88joR1o=
=aPnI
-----END PGP SIGNATURE-----
- Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]