• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-532-2 libapache-mod-ssl -- различные уязвимости

Главная Специалистам База уязвимостей DSA-532-2 libapache-mod-ssl -- различные уязвимости

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
Описание
Обнаружены две уязвимости в libapache-mod-ssl:

CAN-2004-0488
Переполнение буфера стека при работе функции ssl_util_uuencode_binary
  файла ssl_util.c модуля Apache mod_ssl может, если mod_ssl настроен
  на доверие выпускающему CA, позволить удалённому нападающему
  выполнить произвольный код с помощью сертификата клиента с длинной темой
  DN.
CAN-2004-0700
Уязвимость строки формата в функции ssl_log файла ssl_engine_log.c
  модуля mod_ssl 2.8.19 для Apache 1.3.31 может позволить удалённому
  нападающему выполнить произвольные сообщения при помощи спецификаторов
  формата в некоторых сообщениях журнала протокола HTTPS.

В текущем стабильном дистрибутиве (woody) эти проблемы исправлены
в версии 2.8.9-2.4.
В нестабильном дистрибутиве (sid) CAN-2004-0488
исправлена в версии 2.8.18, а CAN-2004-0700
будет исправлена в ближайшее время.
Мы рекомендуем вам обновить пакет libapache-mod-ssl.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 3.0:
ppc:
libapache-mod-ssl - 2.8.9-2.4
s390x:
libapache-mod-ssl - 2.8.9-2.4
m68k:
libapache-mod-ssl - 2.8.9-2.4
i686:
libapache-mod-ssl - 2.8.9-2.4
hppa:
libapache-mod-ssl - 2.8.9-2.4
sparc:
libapache-mod-ssl - 2.8.9-2.4
ia64:
libapache-mod-ssl - 2.8.9-2.4
mips:
libapache-mod-ssl - 2.8.9-2.4
noarch:
libapache-mod-ssl-doc - 2.8.9-2.4
mipsel:
libapache-mod-ssl - 2.8.9-2.4
arm:
libapache-mod-ssl - 2.8.9-2.4
Ссылки
http://www.debian.org/security/dsa-532/

Источник: CVE
Наименование: CVE-2004-0488
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0488

Источник: CVE
Наименование: CVE-2004-0700
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0700