Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
libapache-mod-ssl
(any)
libapache-mod-ssl-doc
(any)
Описание
Обнаружены две уязвимости в libapache-mod-ssl:
CAN-2004-0488
Переполнение буфера стека при работе функции ssl_util_uuencode_binary
файла ssl_util.c модуля Apache mod_ssl может, если mod_ssl настроен
на доверие выпускающему CA, позволить удалённому нападающему
выполнить произвольный код с помощью сертификата клиента с длинной темой
DN.
CAN-2004-0700
Уязвимость строки формата в функции ssl_log файла ssl_engine_log.c
модуля mod_ssl 2.8.19 для Apache 1.3.31 может позволить удалённому
нападающему выполнить произвольные сообщения при помощи спецификаторов
формата в некоторых сообщениях журнала протокола HTTPS.
В текущем стабильном дистрибутиве (woody) эти проблемы исправлены
в версии 2.8.9-2.4.
В нестабильном дистрибутиве (sid) CAN-2004-0488
исправлена в версии 2.8.18, а CAN-2004-0700
будет исправлена в ближайшее время.
Мы рекомендуем вам обновить пакет libapache-mod-ssl.
CAN-2004-0488
Переполнение буфера стека при работе функции ssl_util_uuencode_binary
файла ssl_util.c модуля Apache mod_ssl может, если mod_ssl настроен
на доверие выпускающему CA, позволить удалённому нападающему
выполнить произвольный код с помощью сертификата клиента с длинной темой
DN.
CAN-2004-0700
Уязвимость строки формата в функции ssl_log файла ssl_engine_log.c
модуля mod_ssl 2.8.19 для Apache 1.3.31 может позволить удалённому
нападающему выполнить произвольные сообщения при помощи спецификаторов
формата в некоторых сообщениях журнала протокола HTTPS.
В текущем стабильном дистрибутиве (woody) эти проблемы исправлены
в версии 2.8.9-2.4.
В нестабильном дистрибутиве (sid) CAN-2004-0488
исправлена в версии 2.8.18, а CAN-2004-0700
будет исправлена в ближайшее время.
Мы рекомендуем вам обновить пакет libapache-mod-ssl.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 3.0:
ppc:
libapache-mod-ssl - 2.8.9-2.4
s390x:
libapache-mod-ssl - 2.8.9-2.4
m68k:
libapache-mod-ssl - 2.8.9-2.4
i686:
libapache-mod-ssl - 2.8.9-2.4
hppa:
libapache-mod-ssl - 2.8.9-2.4
sparc:
libapache-mod-ssl - 2.8.9-2.4
ia64:
libapache-mod-ssl - 2.8.9-2.4
mips:
libapache-mod-ssl - 2.8.9-2.4
noarch:
libapache-mod-ssl-doc - 2.8.9-2.4
mipsel:
libapache-mod-ssl - 2.8.9-2.4
arm:
libapache-mod-ssl - 2.8.9-2.4
Debian GNU/Linux 3.0:
ppc:
libapache-mod-ssl - 2.8.9-2.4
s390x:
libapache-mod-ssl - 2.8.9-2.4
m68k:
libapache-mod-ssl - 2.8.9-2.4
i686:
libapache-mod-ssl - 2.8.9-2.4
hppa:
libapache-mod-ssl - 2.8.9-2.4
sparc:
libapache-mod-ssl - 2.8.9-2.4
ia64:
libapache-mod-ssl - 2.8.9-2.4
mips:
libapache-mod-ssl - 2.8.9-2.4
noarch:
libapache-mod-ssl-doc - 2.8.9-2.4
mipsel:
libapache-mod-ssl - 2.8.9-2.4
arm:
libapache-mod-ssl - 2.8.9-2.4
Ссылки
http://www.debian.org/security/dsa-532/
Источник: CVE
Наименование: CVE-2004-0488
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0488
Источник: CVE
Наименование: CVE-2004-0700
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0700
Источник: CVE
Наименование: CVE-2004-0488
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0488
Источник: CVE
Наименование: CVE-2004-0700
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0700