Debian-Sicherheitsankündigung

DSA-067-1 apache -- Angriff aus der Ferne

Datum des Berichts:

28. Jul 2001

Betroffene Pakete:

apache, apache-ssl

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 3009.
In Mitres CVE-Verzeichnis: CVE-2001-0925.

Weitere Informationen:

Wir haben Berichte erhalten, dass das Apache-Paket, wie es in der stabilen Debian-Distribution enthalten ist, für das Problem langer Pfadnamen mit Schrägstrichen (»artificially long slash path directory listing vulnerability«) verwundbar ist. Dieses ist auf SecurityFocus beschrieben.

Diese Verwundbarkeit wurde von Dan Harkless auf bugtraq bekanntgegeben.

Zitat des Eintrags auf SecurityFocus für dieses Problem:

Ein Problem im Paket kann Verzeichnis-Indizes sowie das Ermitteln von Pfaden gestatten. In der voreingestellten Konfiguration aktiviert Apache mod_dir, mod_autoindex und mod_negotiation. Wenn eine manuelle Anfrage an den Apache gestellt wird, die aus einem langen, künstlich erstellten, Pfadnamen besteht, können diese Module dazu gebracht werden, sich falsch zu verhalten und die Fehlerseite zu umgehen, so dass die Liste mit den Verzeichnis-Inhalten angezeigt wird.
Diese Verwundbarkeit macht es böswilligen Benutzern auf entfernten Rechnern möglich, einen speziellen Angriff zu fahren, um Informationen zu erhalten, die möglicherweise in der Kompromittierung des Systems resultieren. Diese Verwundbarkeit betrifft alle Versionen von Apache bis zu 1.3.19.

Dieses Problem wurde in apache-ssl 1.3.9-13.3 und apache 1.3.9-14 behoben. Wir empfehlen Ihnen, dass Sie Ihre Pakete umgehend erneuern.

Achtung: Die MD5Sum der .dsc und .diff.gz Dateien passten nicht zusammen, da sie nachträglich vom stable Release kopiert wurden, der Inhalt der .diff.gz Datei ist jedoch geprüft worden und der selbe.

Behoben in:

Debian GNU/Linux 2.2 (potato)

apache

Quellcode:: http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9-14.diff.gz; http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9-14.dsc; http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9.orig.tar.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-common_1.3.9-14_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-dev_1.3.9-14_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/apache_1.3.9-14_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/apache-common_1.3.9-14_arm.deb; http://security.debian.org/dists/stable/updates/main/binary-arm/apache-dev_1.3.9-14_arm.deb; http://security.debian.org/dists/stable/updates/main/binary-arm/apache_1.3.9-14_arm.deb
Intel IA-32:: http://security.debian.org/dists/stable/updates/main/binary-i386/apache-common_1.3.9-14_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/apache-dev_1.3.9-14_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/apache_1.3.9-14_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-common_1.3.9-14_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-dev_1.3.9-14_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/apache_1.3.9-14_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-common_1.3.9-14_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-dev_1.3.9-14_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache_1.3.9-14_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-common_1.3.9-14_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-dev_1.3.9-14_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/apache_1.3.9-14_sparc.deb
Architektur-unabhängige Dateien:: http://security.debian.org/dists/stable/updates/main/binary-all/apache-doc_1.3.9-14_all.deb

apache-ssl
Quellcode:: http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-3.diff.gz; http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-3.dsc; http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13.orig.tar.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-ssl_1.3.9.13-3_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/apache-ssl_1.3.9.13-3_arm.deb
Intel IA-32:: http://security.debian.org/dists/stable/updates/main/binary-i386/apache-ssl_1.3.9.13-3_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-ssl_1.3.9.13-3_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-ssl_1.3.9.13-3_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-ssl_1.3.9.13-3_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.