1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
|
<define-tag description>Mehrere Verwundbarkeiten</define-tag>
<define-tag moreinfo>
<p>Laut David Wagner, iDEFENSE und dem Apache HTTP-Server-Projekt wurden
mehrere entfernt ausnutzbare Verwundbarkeiten im Apache-Server-Paket entdeckt,
einem häufig eingesetzten Webserver. Der meiste Sourcecode ist in den
Apache und Apache-Perl Paketen gleich, daher sind auch die Verwundbarkeiten
gleich.</p>
<p>Diese Verwundbarkeiten könnten es einem Angreifer erlauben, eine
Diensteverweigerung (<q>Denial of Service</q>) gegen einen Server zu verhängen
oder Site-übergreifende
Skripting-Angriffe durchzuführen, oder Cookies von anderen Website-Benutzern
zu stehlen. <q>Das Common Vulnerabilities and Exposures (CVE)</q>-Projekt
identifiziert die folgenden Verwundbarkeiten:</p>
<ol>
<li>CAN-2002-0839: Eine Verwundbarkeit existiert auf Plattformen, die System
V Shared Memory zur internen Kommunikation verwenden. Diese Verwundbarkeit
erlaubt es einem Angreifer, Programme mit der Apache-UID auszuführen, um
das Apache Shared Memory Kommunikationsbrett-Format auszunutzen und ein
Signal an jeden Prozess als root zu senden oder einen lokalen
Diensteverweigerungs- (<q>Denial of Service</q>-)Angriff durchzuführen.</li>
<li>CAN-2002-0840: Apache ist mit der Standard-404-Seite für eine
Site-übergreifende Skripting-Verwundbarkeit auf jedem Web-Server anfällig,
der auf einer Domain mit Wildcard DNS-Abfragen aufgesetzt ist.</li>
<li>CAN-2002-0843: Es gab einige mögliche Überläufe im Werkzeug ApacheBench
(ab), die von einem böswilligen Server ausgenutzt werden konnten.
Dieses Programm wird jedoch nicht mit dem Apache-Perl-Paket
ausgeliefert.</li>
<li>CAN-2002-1233: Ein Problem bei der Ausführung der htpasswd und htdigest
Programme ermöglicht es einem böswilligen lokalen Benutzer, den Inhalt
einer Passwort-Datei zu lesen oder sogar zu modifizieren, oder einfach
Dateien als der Benutzer zu erstellen und überschreiben, der das htpasswd
(oder entsprechend das htdigest) Programm verwendet.
Die Programme sind jedoch nicht im Apache-Perl-Paket enthalten.</li>
<li>CAN-2001-0131: htpasswd und htdigest in Apache 2.0a9, 1.3.14 und
weiteren erlaubt es lokalen Benutzern, willkürliche Dateien mittels eines
Symlink-Angriff zu überschreiben. Diese Programme sind jedoch nicht im
Apache-Perl-Paket enthalten.</li>
<li>NO-CAN: Mehrere Pufferüberläufe wurden im ApacheBench (ab) Werkzeug
entdeckt, die von einem entfernten Server ausgenutzt werden könnten, indem
er eine sehr lange Zeichenkette zurückliefert. Das Programm ist jedoch
nicht im Apache-Perl-Paket enthalten.</li>
</ol>
<p>Diese Probleme wurden in Version 1.3.26-1-1.26-0woody2 für die aktuelle
stable Distribution (Woody), in Version 1.3.9-14.1-1.21.20000309-1.1 für die
alte stable Distribution (Potato) und in Version 1.3.26-1.1-1.27-3-1 für die
unstable Distribution (Sid) behoben.</p>
<p>Wir empfehlen Ihnen, Ihr Apache-Perl-Paket unverzüglich zu
aktualisieren.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-195.data"
#use wml::debian::translation-check translation="891ef4d5e1068c7947c1642f919f6caef4132d17"
# $Id$
|
