NEOHAPSIS - Peace of Mind Through Integrity and Insight

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com

Neohapsis > Archives > Conectiva Linux> 2002-q4

secure_at_conectiva.com.br
Date: Mon Oct 07 2002 - 09:26:51 CDT

Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : apache
RESUMO : Negação de serviço e outras vulnerabilidades
DATA : 2002-10-07 12:26:00
ANÚNCIO : CLA-2002:530
EDIÇÕES : 6.0, 7.0, 8

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
Apache[1] é o servidor web mais usado hoje em dia.

Esta atualização do apache corrige três vulnerabilidades recentes:

CAN-2002-0839[3]
Existe uma vulnerabilidade no código que lida com SHM ("shared
memory", ou memória compartilhada) no apache que permite que um
atacante possa mandar o sinal USR1 para qualquer processo da máquina
com os privilégios de administrador do sistema. Se este sinal não for
tratado pelo processo que o estiver recebendo, o processo será
terminado.

Para conseguir fazer isso, o atacante, local ou remoto, precisa ter
permissão para executar código com os privilégios do servidor web, o
que pode ser conseguido através de scripts CGI ou PHP, por exemplo.
Uma vez conseguido isso, o atacante pode inserir números de processos
(PIDs) na área de memória compartilhada do servidor web e com isso
enviar o sinal USR1 para esses processos.

Uma outra conseqüência desta vulnerabilidade é a possibilidade de
fazer com que o apache crie cada vez mais processos filhos, até que
os recursos da máquina sejam exauridos.

A correção desta vulnerabilidade trouxe uma nova diretiva de
configuração, a "ShmemUIDisUser". Esta diretiva está documentada no
manual contido no pacote "apache-doc" e o seu valor padrão corrige
este problema.

CAN-2002-0840[4]
Matthew Murphy descobriu uma vulnerabilidade de "cross site
scripting" na página de erro padrão 404 retornada pelo servidor.

CAN-2002-0843[5]
Existem algumas vulnerabilidades de buffer overflow no programa "ab",
uma ferramenta de teste de performance de servidores web, que faz
parte do pacote apache. O risco desta vulnerabilidade é provavelmente
bastante baixo, visto que seria necessário que um usuário executasse
o benchmark em um servidor que estivesse sob o controle do atacante.

Para corrigir estas vulnerabilidades, a fundação apache
disponibilizou[2] a versão 1.3.27. Os pacotes deste anúncio, apesar
de serem a versão 1.3.26, possuem as correções para os três problemas
acima.

SOLUÇÃO
Todos os usuários do servidor web apache devem fazer a atualização
imediatamente.

IMPORTANTE: após a atualização, o servidor apache precisa ser
reiniciado manualmente. Para isso, execute como root:

service httpd stop

(verifique com "ps ax|grep httpd" se todos os processos httpd foram
encerrados, em um servidor de alto tráfego isso pode demorar alguns
segundos)

Em seguida, execute:

service httpd start

REFERÊNCIAS
1.http://httpd.apache.org/
2.http://marc.theaimsgroup.com/?l=apache-httpd-users&m=103367270822891&w=2
3.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0839
4.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0840
5.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0843

INSTRUÇÕES ADICIONAIS
Usuários do Conectiva Linux 6.0 ou superior podem usar apt para fazer
atualizações de pacotes RPM:
- se a linha abaixo ainda não existir no arquivo /etc/apt/sources.list,
acrescente-a:

rpm [cncbr] ftp://atualizacoes.conectiva.com.br versão/conectiva updates

(substitua "versão" pela sua versão. Por exemplo, 7.0)

- execute: apt-get update
- seguido por: apt-get upgrade

Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE9oZmp42jd0JmAcZARAj4/AKCphKVEuTBlVmy62B1N44WrzsiPxQCguxCh
ZtLYsMxdwmCzhBOem2plXrE=
=u9mN
-----END PGP SIGNATURE-----

Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]