NEOHAPSIS - Peace of Mind Through Integrity and Insight

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com

Neohapsis > Archives > Conectiva Linux> 2006-q1

[Atualizacoes-anuncio] [CLA-2006:1065] Anúncio de Segurança Conectiva - apache

From: Conectiva Updates (secureconectiva.com.br)
Date: Fri Feb 17 2006 - 06:06:49 CST

Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : apache
RESUMO : Correção de falha de segurança no Apache.
DATA : 2006-02-17 09:53:00
ANÚNCIO : CLA-2006:1065
EDIÇÕES : 10

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
O Apache[1] é o servidor web mais utilizado atualmente.

Este anúncio corrige duas falhas de segurança no Apache:

1.CVE-2005-3352[2]
Uma vulnerabilidade de cross-site scripting (XSS) no módulo mod_imap
do Apache permite a atacantes remotos injetarem scripts arbitrários
utilizados na web e/ou código HTML através do Referer quando usando
mapas de imagens.

2.CVE-2005-3357[3]
Quando o mod_ssl é configurado em um servidor virtual SSL com
controle de acesso e uma página de erro 400 personalizada, ele
permite que atacantes remotos causem uma negação de serviço (término
da aplicação) através de requisições não-SSL em uma porta SSL, o que
causa uma dereferência nula.

SOLUÇÃO
É recomendado que todos os usuários do Apache façam a atualização.

REFERÊNCIAS
1.http://Apache.httpd.org/
2.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3352
3.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3357

PACOTES RPM
ftp://atualizacoes.conectiva.com.br/10/SRPMS/apache-2.0.49-61251U10_7cl.src.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/apache-2.0.49-61251U10_7cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/apache-devel-2.0.49-61251U10_7cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/apache-doc-2.0.49-61251U10_7cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/apache-htpasswd-2.0.49-61251U10_7cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/libapr-devel-2.0.49-61251U10_7cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/libapr-devel-static-2.0.49-61251U10_7cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/libapr0-2.0.49-61251U10_7cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/mod_auth_ldap-2.0.49-61251U10_7cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/mod_dav-2.0.49-61251U10_7cl.i386.rpm

INSTRUÇÕES ADICIONAIS
A ferramenta apt pode ser utilizada para fazer atualizações de
pacotes RPM:

- execute: apt-get update
- seguido por: apt-get upgrade

Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
Copyright (c) 2004 Conectiva S.A.
http://www.conectiva.com.br

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQFD9bxY42jd0JmAcZARAhKBAKChkUiwhAAIrj7AIJbzRqAQmz7brgCg1ohs
J1aIIaGdwaw8dJtKpUwM1w4=
=Ylu6
-----END PGP SIGNATURE-----

--===============0582097187==
Content-Type: text/plain; charset="iso-8859-1"
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

__________________________________________________________________________
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
--===============0582097187==--

Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]