LINUX.ORG.RU

Уязвимость Apache Mod_SSL


0

0

Обнаружена критическая уязвимость в Apache Mod_SSL при кодировании бинарных данных в uuencode, вызванная переполнением стека. Может привести к атаке DOS (отказ в обслуживании), а также выполнении произвольного кода на удалённой системе. Уязвимы все доступные на данный момент версии Apache. Группа OpenPKG единственная выпустила заплату.
Скачать:
ftp://ftp.openpkg.org/release/1.3/UPD...
ftp://ftp.openpkg.org/release/2.0/UPD...

>>> Подробности

★★★★★

Проверено: Demetrio

>Уязвимы все доступные на данный момент версии Apache. Группа OpenPKG >единственная выпустила заплату.

2birdie

Птичкин, оставфь трафы.

From: Ralf S. Engelschall
Subject: [ANNOUNCE] mod_ssl 2.8.18
Date: Thu, 27 May 2004 06:22:22 -0700

A security issue was discovered.
It is now fixed with mod_ssl 2.8.18.

Sun-ch
()
Ответ на: комментарий от Sun-ch

> Птичкин, оставфь трафы.

А по-русски? Что-то я не понял что ты конкрутно имеешь в виду?

birdie ★★★★★
() автор топика
Ответ на: комментарий от birdie

> Ну а как же с версией 2.0.40 быть?

Можно попробовать пропатчить, если так не терпится :)

http://cvs.apache.org/viewcvs.cgi/httpd-2.0/modules/ssl/ssl_engine_kernel.c?r...

А можно и подождать, пока RedHat бэкпортирует на 2.0.40. (Это ведь из RH9 взялась версия 2.0.40, или как?)

Vond ★★
()

Securityfocus.com:

The issue is not believed to be exploitable to execute arbitrary code on x86 architectures, though this may not be the case with other architectures.

inductor
()
Ответ на: комментарий от Vond

> А можно и подождать, пока RedHat бэкпортирует на 2.0.40. (Это ведь из RH9 взялась версия 2.0.40, или как?)

Ага, из редхата. Но проблема в том, что редхат уже больше не поддерживает 9ку. И откуда ждать апдэйтов не совсем понятно. Можно понадеяться, что чуваки из http://www.fedoralegacy.org/ быстро пошевелят жопой и чего-нибудь выпустят. Но если в течение пары дней ничего не появится - то придётся в срочном порядке трахать мозг.

afk
()

Я так понимаю Apache 2.0.49 на Linux x86 это не касается.

Vide
()
Ответ на: комментарий от x97Rang

Я так понимаю у publicfile нету вообще SSL. Соответственно и не может быть такой уязвимости. Нафиг он МНЕ такой не нужен.

Vide
()
Ответ на: комментарий от x97Rang

> Переходим на publicfile, задолбал апач дырки
> каждый месяц выпускать, все на http://cr.yp.to/publicfile.html

Классный сервер. Безопасный. Только нефига не умееет.
Кому такое чудо надо?

bormann
()
Ответ на: комментарий от afk

> Ага, из редхата. Но проблема в том, что редхат уже больше не поддерживает 9ку. И откуда ждать апдэйтов не совсем понятно.

Точно, я и забыл уже :)

А в чём проблема собрать самому 2.0.49 (+ исправление для mod_ssl по ссылке выше)? Там даже spec-файл уже есть (в httpd-2.0.49.tar.gz)

Vond ★★
()
Ответ на: комментарий от anonymous

> uscpi-tcp Прочитал, все здорово, но каким образом это можно использовать для того чтобы из обычного браузера (например IE) работать с сайтом через ssl-соединение ?

Vide
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.