1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
|
#use wml::debian::translation-check translation="4e24061190d31f80509d49a1aaf22333a7c0f957" maintainer="Lev Lamberov"
<define-tag description>удалённая уязвимость</define-tag>
<define-tag moreinfo>
Мы получили сообщения о том, что пакет `apache', входящий в состав
стабильного выпуска Debian, подвержен `уязвимости листинга каталога
из-за большого количества косых черт', описываемой в статье <a
href="http://www.securityfocus.com/vdb/bottom.html?vid=2503">SecurityFocus</a>.
<p>Об этой уязвимости сообщил Дэн Харклес на bugtraq.
<p>Цитируем статью SecurityFocus об этой уязвимости:
<blockquote>
<p>Проблема в пакете может позволить выполнить индексацию каталога и
обнаружение пути. По умолчанию Apache включает модули mod_dir,
mod_autoindex и mod_negotiation. Тем не менее, отправка специально
сформированного запроса на сервер Apache, содержащего длинное имя пути
с большим количеством косых черт, приводит к неправильному поведению
указанных модулей, что позволяет избежать страницы с ошибкой и
получить листинг содержимого каталога.
<p>Данная уязвимость позволяет удалённому злоумышленнику
запускать атаку по сбору информации, которая потенциально может
привести к компрометации системы. Кроме того, данная уязвимость
касается всех выпусков Apache ниже версии 1.3.19.
</blockquote>
<p>Эта проблема была исправлена в пакете apache-ssl версии 1.3.9-13.3 и
пакете apache версии 1.3.9-14. Рекомендуется как можно скорее
обновить пакеты.</p>
<p>Внимание: контрольные суммы MD5 файлов .dsc и .diff.gz не совпадают,
так как они были скопированы из стабильного выпуска позже, но файл
.diff.gz имеет то же содержимое, это проверено.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2001/dsa-067.data"
# $Id$
|
