Debian-Sicherheitsankündigung

DSA-805-1 apache2 -- Mehrere Verwundbarkeiten

Datum des Berichts:

08. Sep 2005

Betroffene Pakete:

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In der Debian-Fehlerdatenbank: Fehler 316173, Fehler 320048, Fehler 320063, Fehler 326435.
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 14660.
In Mitres CVE-Verzeichnis: CVE-2005-1268, CVE-2005-2088, CVE-2005-2700, CVE-2005-2728.
CERTs Verwundbarkeiten, Hinweise und Ereignis-Notizen: VU#744929.

Weitere Informationen:

Mehrere Probleme wurden in Apache2 entdeckt, dem skalierbaren und erweiterungsfähigen Webserver der nächsten Generation. Das Common Vulnerabilities and Exposures project identifiziert die folgenden Probleme:

CAN-2005-1268
Marc Stern entdeckte einen Fehler in der Rückruffunktion zur Überprüfung der Certificate Revocation List (CRL). Wenn Apache so eingerichtet ist, dass eine CRL verwendet wird, kann dies benutzt werden, um einen Denial of Service auszulösen.
CAN-2005-2088
Eine Verwundbarkeit wurde im Apache-Webserver entdeckt. Wenn dieser als HTTP-Proxy betrieben wird, ermöglicht er entfernten Angreifern, den Webcache zu infiltrieren, den Firewallschutz für Webapplikationen zu umgehen und Angriffe durch Site-übergreifendes Skripting durchzuführen. Dies veranlasst Apache, inkorrekterweise den Rumpfteil der Anfrage zu bearbeiten und weiterzuleiten.
CAN-2005-2700
Ein Problem wurde in mod_ssl entdeckt, das Angreifern ermöglicht, Zugriffsbeschränkungen zu umgehen. mod_ssl stellt starke Verschlüsselung (HTTPS-Unterstützung) für Apache zur Verfügung.
CAN-2005-2728
Der Filter für Bytebereiche in Apache 2.0 ermöglicht entfernten Angreifern, einen Denial of Service auszulösen, indem sie eine HTTP-Kopfzeile senden, die ein großes Range-Feld enthält.

Die alte Stable-Distribution (Woody) enthält das Apache2-Paket nicht.

Für die Stable-Distribution (Sarge) wurden diese Probleme in Version 2.0.54-5 behoben.

Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 2.0.54-5 behoben.

Wir empfehlen Ihnen, Ihre apache2-Pakete zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.1 (sarge)

Quellcode:: http://security.debian.org/pool/updates/main/a/apache2/apache2_2.0.54-5.dsc; http://security.debian.org/pool/updates/main/a/apache2/apache2_2.0.54-5.diff.gz; http://security.debian.org/pool/updates/main/a/apache2/apache2_2.0.54.orig.tar.gz
Architektur-unabhängige Dateien:: http://security.debian.org/pool/updates/main/a/apache2/apache2-doc_2.0.54-5_all.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-threadpool_2.0.54-5_all.deb
Alpha:: http://security.debian.org/pool/updates/main/a/apache2/apache2_2.0.54-5_alpha.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-common_2.0.54-5_alpha.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-perchild_2.0.54-5_alpha.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-prefork_2.0.54-5_alpha.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-worker_2.0.54-5_alpha.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-prefork-dev_2.0.54-5_alpha.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-threaded-dev_2.0.54-5_alpha.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-utils_2.0.54-5_alpha.deb; http://security.debian.org/pool/updates/main/a/apache2/libapr0_2.0.54-5_alpha.deb; http://security.debian.org/pool/updates/main/a/apache2/libapr0-dev_2.0.54-5_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/a/apache2/apache2_2.0.54-5_amd64.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-common_2.0.54-5_amd64.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-perchild_2.0.54-5_amd64.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-prefork_2.0.54-5_amd64.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-worker_2.0.54-5_amd64.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-prefork-dev_2.0.54-5_amd64.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-threaded-dev_2.0.54-5_amd64.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-utils_2.0.54-5_amd64.deb; http://security.debian.org/pool/updates/main/a/apache2/libapr0_2.0.54-5_amd64.deb; http://security.debian.org/pool/updates/main/a/apache2/libapr0-dev_2.0.54-5_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/a/apache2/apache2_2.0.54-5_arm.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-common_2.0.54-5_arm.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-perchild_2.0.54-5_arm.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-prefork_2.0.54-5_arm.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-worker_2.0.54-5_arm.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-prefork-dev_2.0.54-5_arm.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-threaded-dev_2.0.54-5_arm.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-utils_2.0.54-5_arm.deb; http://security.debian.org/pool/updates/main/a/apache2/libapr0_2.0.54-5_arm.deb; http://security.debian.org/pool/updates/main/a/apache2/libapr0-dev_2.0.54-5_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/a/apache2/apache2_2.0.54-5_i386.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-common_2.0.54-5_i386.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-perchild_2.0.54-5_i386.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-prefork_2.0.54-5_i386.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-worker_2.0.54-5_i386.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-prefork-dev_2.0.54-5_i386.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-threaded-dev_2.0.54-5_i386.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-utils_2.0.54-5_i386.deb; http://security.debian.org/pool/updates/main/a/apache2/libapr0_2.0.54-5_i386.deb; http://security.debian.org/pool/updates/main/a/apache2/libapr0-dev_2.0.54-5_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/a/apache2/apache2_2.0.54-5_ia64.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-common_2.0.54-5_ia64.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-perchild_2.0.54-5_ia64.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-prefork_2.0.54-5_ia64.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-worker_2.0.54-5_ia64.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-prefork-dev_2.0.54-5_ia64.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-threaded-dev_2.0.54-5_ia64.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-utils_2.0.54-5_ia64.deb; http://security.debian.org/pool/updates/main/a/apache2/libapr0_2.0.54-5_ia64.deb; http://security.debian.org/pool/updates/main/a/apache2/libapr0-dev_2.0.54-5_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/a/apache2/apache2_2.0.54-5_hppa.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-common_2.0.54-5_hppa.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-perchild_2.0.54-5_hppa.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-prefork_2.0.54-5_hppa.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-worker_2.0.54-5_hppa.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-prefork-dev_2.0.54-5_hppa.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-threaded-dev_2.0.54-5_hppa.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-utils_2.0.54-5_hppa.deb; http://security.debian.org/pool/updates/main/a/apache2/libapr0_2.0.54-5_hppa.deb; http://security.debian.org/pool/updates/main/a/apache2/libapr0-dev_2.0.54-5_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/a/apache2/apache2_2.0.54-5_m68k.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-common_2.0.54-5_m68k.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-perchild_2.0.54-5_m68k.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-prefork_2.0.54-5_m68k.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-worker_2.0.54-5_m68k.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-prefork-dev_2.0.54-5_m68k.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-threaded-dev_2.0.54-5_m68k.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-utils_2.0.54-5_m68k.deb; http://security.debian.org/pool/updates/main/a/apache2/libapr0_2.0.54-5_m68k.deb; http://security.debian.org/pool/updates/main/a/apache2/libapr0-dev_2.0.54-5_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/a/apache2/apache2_2.0.54-5_mips.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-common_2.0.54-5_mips.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-perchild_2.0.54-5_mips.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-prefork_2.0.54-5_mips.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-worker_2.0.54-5_mips.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-prefork-dev_2.0.54-5_mips.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-threaded-dev_2.0.54-5_mips.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-utils_2.0.54-5_mips.deb; http://security.debian.org/pool/updates/main/a/apache2/libapr0_2.0.54-5_mips.deb; http://security.debian.org/pool/updates/main/a/apache2/libapr0-dev_2.0.54-5_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/a/apache2/apache2_2.0.54-5_mipsel.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-common_2.0.54-5_mipsel.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-perchild_2.0.54-5_mipsel.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-prefork_2.0.54-5_mipsel.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-worker_2.0.54-5_mipsel.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-prefork-dev_2.0.54-5_mipsel.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-threaded-dev_2.0.54-5_mipsel.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-utils_2.0.54-5_mipsel.deb; http://security.debian.org/pool/updates/main/a/apache2/libapr0_2.0.54-5_mipsel.deb; http://security.debian.org/pool/updates/main/a/apache2/libapr0-dev_2.0.54-5_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/a/apache2/apache2_2.0.54-5_powerpc.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-common_2.0.54-5_powerpc.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-perchild_2.0.54-5_powerpc.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-prefork_2.0.54-5_powerpc.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-worker_2.0.54-5_powerpc.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-prefork-dev_2.0.54-5_powerpc.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-threaded-dev_2.0.54-5_powerpc.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-utils_2.0.54-5_powerpc.deb; http://security.debian.org/pool/updates/main/a/apache2/libapr0_2.0.54-5_powerpc.deb; http://security.debian.org/pool/updates/main/a/apache2/libapr0-dev_2.0.54-5_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/a/apache2/apache2_2.0.54-5_s390.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-common_2.0.54-5_s390.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-perchild_2.0.54-5_s390.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-prefork_2.0.54-5_s390.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-worker_2.0.54-5_s390.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-prefork-dev_2.0.54-5_s390.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-threaded-dev_2.0.54-5_s390.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-utils_2.0.54-5_s390.deb; http://security.debian.org/pool/updates/main/a/apache2/libapr0_2.0.54-5_s390.deb; http://security.debian.org/pool/updates/main/a/apache2/libapr0-dev_2.0.54-5_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/a/apache2/apache2_2.0.54-5_sparc.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-common_2.0.54-5_sparc.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-perchild_2.0.54-5_sparc.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-prefork_2.0.54-5_sparc.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-mpm-worker_2.0.54-5_sparc.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-prefork-dev_2.0.54-5_sparc.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-threaded-dev_2.0.54-5_sparc.deb; http://security.debian.org/pool/updates/main/a/apache2/apache2-utils_2.0.54-5_sparc.deb; http://security.debian.org/pool/updates/main/a/apache2/libapr0_2.0.54-5_sparc.deb; http://security.debian.org/pool/updates/main/a/apache2/libapr0-dev_2.0.54-5_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

Diese Seite gibt es auch in den folgenden Sprachen:

dansk English español français svenska

Wie stellt man die Standardsprache ein

Um Probleme mit der Website zu melden, schreiben Sie bitte eine E-Mail auf Englisch an debian-www@lists.debian.org. Rechtschreibfehler in der deutschen Übersetzung senden Sie bitte an debian-l10n-german@lists.debian.org. Weitere Kontaktinformationen finden Sie auf Debians Kontaktseite.