blob: a8c5dab6288074b869af59b461df307e111deef2 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
|
#use wml::debian::translation-check translation="e3a0682a4360857d18b4fc69a7353cbfc22635f8" maintainer="Lev Lamberov"
<define-tag description>переполнение буфера</define-tag>
<define-tag moreinfo>
<p>Эд Моил недавно
<a href="http://archives.neohapsis.com/archives/bugtraq/2002-02/0313.html">\
обнаружил</a> переполнение буфера в Apache-SSL и mod_ssl.
Если включено кеширование сессии, то mod_ssl выполняет сериализацию переменных
сессии SSL с целью их сохранения для дальнейшего использования. Эти переменные сохраняются
в буфере фиксированного размера, а проверка границ не производится.</p>
<p>Для того, чтобы использовать это переполнение, сервер должен требовать клиентские
сертификаты, а злоумышленник должен получить специально сформированный клиентский
сертификат, подписанный авторитетом, которому доверяет этот
сервер. Если эти условия выполнены, то злоумышленник может
выполнить произвольный код на сервере.</p>
<p>Эта проблема была исправлена в версии 1.3.9.13-4 пакета Apache-SSL и
в версии 2.4.10-1.3.9-1potato1 пакета libapache-mod-ssl для стабильного
выпуска Debian, а также в версии 1.3.23.1+1.47-1 пакета
Apache-SSL и в версии 2.8.7-1 пакета libapache-mod-ssl для тестируемого
и нестабильного выпусков Debian.</p>
<p>Рекомендуется обновить пакеты Apache-SSL и mod_ssl.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-120.data"
# $Id$
|
