blob: 7529f18851bcbf0dd68dbce4fea4737c56021083 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
|
#use wml::debian::translation-check translation="891ef4d5e1068c7947c1642f919f6caef4132d17"
<define-tag description>várias vulnerabilidades</define-tag>
<define-tag moreinfo>
<p>De acordo com David Wagner, o iDEFENSE e o projeto Apache, várias
vulnerabilidades que podem ser exploradas remotamente foram encontradas
no pacote Apache, um servidor web comumente utilizado. A maioria do
código é compartilhado entre os pacotes Apache e Apache-Perl, o que
faz com que as vulnerabilidades também sejam.</p>
<p>Estas vulnerabilidades podem permitir que um atacante execute um
ataque de negação de serviço ou cross scripting ou roube cookies de
outros usuários do servidor web. O projeto Common Vulnerabilities
and Exposures (CVE) identificou as seguintes
vulnerabilidades:</p>
<ol>
<li>CAN-2002-0839: Uma vulnerabilidade existe em plataformas que usem
memórias compartilhadas System V baseadas em pontuação. Esta
vulnerabilidade permite que um atacante possa executar sobre o
UID do Apache e explorar o formato de pontuação da memória compartilhada
e enviar um sinal para qualquer processo como root ou cause um ataque local
de negação de serviço.</li>
<li>CAN-2002-0840: O Apache está suscetível a uma vulnerabilidade cross
site scripting na página 404 padrão de qualquer servidor web em um
domínio que permita procura no DNS através de coringas. </li>
<li>CAN-2002-0843: Há alguns possíveis overflows no utilitário
ApacheBench (ab) que pode ser explorado por um servidor malicioso.
De qualquer forma, os binários não são distribuídos com o pacote
Apache-Perl.</li>
<li>CAN-2002-1233: Uma condição de corrida nos programas htpasswd e htdigest
possibilita que um usuário local malicioso leia ou até mesmo modifique o conteúdo
de um arquivo de senhas ou facilmente crie e substitua arquivos como o usuário
que está executando o programa htpasswd (ou o htdigest).
De qualquer forma, os binários não são distribuídos com o pacote
Apache-Perl.</li>
<li>CAN-2001-0131: O htpasswd e o htdigest no Apache 2.0a9, 1.3.14 e outros
permitem usuários locais a sobrescrever arquivos arbitrários através de um
atacante de links simbólicos. De qualquer forma, os binários não
são distribuídos com o pacote Apache-Perl.</li>
<li>NO-CAN: Vários buffer overflows foram encontrados no utilitário ApacheBench
(ab) que pode ser explorado por um servidor remoto que retorne muitas strings.
De qualquer forma, os binários não são distribuídos com o pacote
Apache-Perl.</li>
</ol>
<p>Estes problemas foram corrigidos na versão 1.3.26-1-1.26-0woody2 para a
atual distribuição estável (woody), na 1.3.9-14.1-1.21.20000309-1.1 para a
antiga distribuição estável (potato) e na versão 1.3.26-1.1-1.27-3-1 para a
distribuição instável (sid).</p>
<p>Nós recomendamos que você atualize seu pacote Apache-Perl imediatamente.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-195.data"
|