From: Conectiva Updates (secureconectiva.com.br)
Date: Mon Jul 21 2003 - 16:36:23 CDT

• Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : apache
RESUMO : Vulnerabilidades de negação de serviço
DATA : 2003-07-21 18:34:00
ANÚNCIO : CLA-2003:698
EDIÇÕES : 9

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
 Apache[1] é o servidor web mais usado hoje em dia.
 
 As seguintes questões são resolvidas com esta atualização:
 
 1. Renegociação SSL (CAN-2003-0192 [2])
 Algumas renegociações SSL por diretório em conjunto com a diretiva
 SSLCipherSuite sendo usada para trocar um algoritmo fraco de
 criptografia por um mais forte poderiam resultar no algoritmo fraco
 sendo usado.
 
 2. Negação de serviço (CAN-2003-0253 [3])
 Saheed Akhtar reportou uma vulnerabilidade de negação de serviço no
 modo prefork de operação (que é o modo padrão no Conectiva Linux).
 Esta vulnerabilidade surge quando a chamada accept() falha ao ser
 usada em portas que são raramente acessadas.
 
 3. Negação de serviço (CAN-2003-0254 [4])
 Yoshioka Tsuneo reportou uma vulnerabilidade de negação de serviço no
 módulo proxy de ftp que ocorre em conexões IPv6 quando o servidor
 externo sendo acessado através do proxy usa endereçamento IPv6 mas o
 proxy não consegue utilizar ou não possui suporte a IPv6.
 
 4. Negação de serviço (VU#379828 [5])
 Ryan O'Neill reportou que é possível fazer o serviço httpd entrar em
 um loop infinito em determinadas condições. A correção aplicada
 introduz uma nova diretiva de configuração (LimitInternalRecursion)
 que faz com que o loop seja interrompido após atingir o limite
 configurado. O valor padrão para esse parâmetro já é o suficiente
 para interromper este tipo de ataque.

SOLUÇÃO
 É recomendado que todos os usuários do Apache no Conectiva Linux 9
 façam a atualização.
 
 MPORTANTE: após a atualização, o servidor apache precisa ser
 reiniciado manualmente. Para isso, execute como root:
 
 service apache stop
 
 (verifique com "ps ax|grep httpd" se todos os processos httpd foram
 encerrados, em um servidor de alto tráfego isso pode demorar alguns
 segundos)
 
 Em seguida, execute:
 
 service apache start
 
 
 REFERÊNCIAS
 1. http://httpd.apache.org/
 2. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0192
 3. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0253
 4. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0254
 5. http://nagoya.apache.org/bugzilla/show_bug.cgi?id=19753

PACOTES RPM
ftp://atualizacoes.conectiva.com.br/9/SRPMS/apache-2.0.45-28790U90_3cl.src.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/apache-2.0.45-28790U90_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/apache-devel-2.0.45-28790U90_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/apache-doc-2.0.45-28790U90_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/apache-htpasswd-2.0.45-28790U90_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/libapr-devel-2.0.45-28790U90_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/libapr-devel-static-2.0.45-28790U90_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/libapr0-2.0.45-28790U90_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/mod_auth_ldap-2.0.45-28790U90_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/mod_dav-2.0.45-28790U90_3cl.i386.rpm

INSTRUÇÕES ADICIONAIS
 A ferramenta apt pode ser utilizada para fazer atualizações de
 pacotes RPM:

 - execute: apt-get update
 - seguido por: apt-get upgrade

 Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
 http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
Copyright (c) 2003 Conectiva S.A.
http://www.conectiva.com.br

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE/HFzW42jd0JmAcZARApnKAKCy7TgYU+uCEzfmg5c9vNhPNosYIwCg8Ym0
czpSZPy+34NTDOVgbHg85Kk=
=s5OR
-----END PGP SIGNATURE-----

• Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]