Bug

Csomag: libapache-mod-ssl


Probléma típus: puffer túlcsordulás / DoS


Debian-specifikus: nem

A libapache-mod-ssl csomag lehetővé teszi, hogy SSL funkciókat használjunk ki apache webszerverben. Újabban hibát találtak a .htaccess fileok kezelésében, amely lehetővé teszi nem kívánatos kód futtatását a szerveren a web szervert futtató felhasználó nevében, alkalom nyílvat DoS támadásra (killezve az apache gyerek processzét), és lehetővé teszi, hogy a támadó átvegye az irányítást az apache gyerek (child) processz felett. A hibáról bővebb leírást itt találsz.

A hiba javítva van a libapache-mod-ssl_2.4.10-1.3.9-1potato2 csomagban (potato), és a libapache-mod-ssl_2.8.9-2 csomagban (woody). Azonnali frissítést javaslunk.

Az eredeti hibajelentés: DSA-133-5


Frissétésről szóló FAQ

Domas Mituzas (az előző cikkben említett programozó) egy levélben részletes leírást adott a féregről. Az általuk felállított csapda-rendszer fogta meg a férget. Egy élesben működő Apache 1.3.24-es szervert használtak a "befogáshoz". A további vizsgálatok céljából közzé tette a .a és .uua binárisokat, és az apache-worm.c forráskódot.

Bővebb információ a folytatásban:From: Domas Mituzas

A ZDNet egyik cikke a "Watch out for new Apache worm" címet kapta.

A féregnek még nincs neve - csak FreeBSD rendszereken él meg - saját flood hálózatot épít - más (nem FreeBSD) rendszereket is DoS-olhat - várható a megjelenése Linux/Solaris/Unix rendszerekre is

A cikk szerint a biztonsági szakértők azon dolgoznak, hogy dekódolják az a férget, amely a kb. 2 hete ismert Apache hibát használja ki. A féreg egyelőre csak a FreeBSD alapon futó, biztonsági patchel nem rendelkező Apache szervereken képes terjedni. Bár voltak emberek akik az jelentették, hogy a féreg képes megfertőzni a más rendszern futó Apache szervereket világszerte.

"Ez terjed" - mondta Domas Mituzas, aki rendszer fejlesztő a Microlink Systems-nél, amely egy balti információ-technológiai cég. "Lengyelországból ért el minket, de a megjegyzések olaszul vannak, tehát jöhetett a világ bármely pontjáról."A féreg előzetes vizsgálata után a 19 éves litván programozó azt állítja, hogy a féreg úgy lett tervezve, hogy képes legyen hálózati floodolásra a kompromittált szerverek között, és felhasználható D0S (Denial of Service) típusú támadásra.

A tegnapi OpenBSD resolver hiba után a FreeBSD team is bejelentette a saját DNS resolveréban levő puffer túlcsorulási hibát.

Bővebb információt a FreeBSD-SA-02:28.resolv Security Advisory-ban találsz.

Ez a hét nem az OpenBSD csapat hete az biztos. Egy potenciális puffer túlcsordulási hibát találtak az OpenBSD DNS (Domain Name Service) resolverében. A hiba az összes architektúrát érinti:

025: SECURITY FIX: June 25, 2002

A potential buffer overflow in the DNS resolver has been found.

A source code patch exists which remedies the problem

Package : ssh

Problem type : remote exploit

Debian-specific: no

udv

Miki

Csomag: apache-perl

Probléma típus: távoli DoS / exploit

Debian specifikus: nem

Mark Litchfield talált a napokban egy DoS sebezhetőséget az Apache webszerverben. A hibát kihasználva az áldozat gépe ellen távoli DoS (denial of service) támadást lehet intézni. A hibát kihasználva lehetőség nyílhat arra, hogy a szerveren nem kívánatos kódot futtasson a támadó.

A debian stabil verziójában az 1.3.9-14.1-1.21.20000309-1 verziójú csomag javítja a hibát. Azonnali frissítést javaslunk!

Az eredeti hibajelentés: DSA-133-1

Frissétésről szóló FAQ

A Debian Project ma bejelentette az Apache/Apache-SSL a napok óta ismert bugot.

Mark Litchfield talált a napokban egy DoS sebezhetőséget az Apache webszerverben. A hibát kihasználva az áldozat gépe ellen távoli DoS (denial of service) támadást lehet intézni. A hibát kihasználva lehetőség nyílhat arra, hogy 64bites Unix rendszereken nem kívánatos kódot futtasson a támadó.

A hiba javítva van a 1.3.9-14.1 verziójú Debian csomagban. Azonnali fissítés javasolt.

Az eredeti hibajelentések: dsa-131, dsa-132

Frissítésről szóló FAQ

Hibát találtak az 1.3-as és 2.0-ás Apache sorozatban.

Az eredeti cikk itt.



Az ISS ugyanaznap találta meg a hibát és kiadott egy fixet, de az Apache szerint nem foltoz minden lyukat.

Tom Vogt levele szerint, a Mozilla 1.0 (és korábbi verziók) olyan bugot tartalmaznak, amelyet távolról kihasználva használhatatlan rendszert kapunk, vagy az X Window rendszer összeomolhat. A hibát tesztelték Linux és Solaris operációs rendszeren sikerrel, de bármely már Unix verzión is működhet.


Ha olyan oldalt töltünk le a Mozillával amely speciálisan (vagy hibásan) formázott stílust (stylesheet) tartalmaz, akkor függően a konfigurációnktól, két hibával szembesülhetünk. Az egyik az, hogy az X rendszer osszeomlik, és magával húzza a teljes operációs rendszert is. Ilyenkor természetesen a nem mentett munkáink elvesznek. A második lehetséges hiba: az X szerver el kezd memóriát ``zabálni", egészen addig amíg a eléri a kritikus pontot, és csak kill -9 paranccsal lehet jobb belátásra bírni.