[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- ------------------------------------------------------------------ UNAM-CERT Departamento de Seguridad en Cómputo DGSCA - UNAM Boletín de Seguridad UNAM-CERT 2002-017 Vulnerabilidad en el Manejo de Datos en el Servidor Web de Apache ------------------------------------------------------------------ El CERT/UNAM-CERT , a través de sus equipos de respuesta a incidentes de Seguridad en Cómputo, han emitido éste boletín en el cual informan de la existencia de una vulnerabilidad remotamente explotable en el manejo de una gran cantidad de datos en los servidores web que están basados en código fuente de Apache. La vulnerabilidad está presente en configuraciones por default de los servidores web de Apache en las versiones 1.3 a la 1.3.24 y en las versiones 2.0 a la 2.0.36. El impacto de esta vulnerabilidad depende de la versión del software y la plataforma de hardware en la que el servidor se este ejecutando. Fecha de Liberación: 17 de Junio de 2002 Ultima Revisión: --- CERT/CC y diversos reportes Fuente: de Equipos de Respuesta a Incidentes. SISTEMAS AFECTADOS ----------------- * Servidores Web basados en Código de Apache versiones de la 1.3 a la 1.3.24 * Servidores Web basados en Código de Apache versiones de la 2.0 a la 2.0.36 DESCRIPCIÓN ----------- Apache es un servidor web popular en el mercado que incluye soporte para una codificación grande de datos en conjunto con el estándar HTTP 1.1 que se describe en el RFC2616. Existe una vulnerabilidad en el manejo de ciertos requerimientos HTTP codificados que pueden permitir a intrusos remotos ejecutar código arbitrario. Apache Software Foundation ha publicado un boletín el que describe los detalles de esta vulnerabilidad. Este boletín esta disponible en su sitio web en: http://httpd.apache.org/info/security_bulletin_20020617.txt IMPACTO ------- Para las versiones de Apache de la 1.3 a la 1.3.24, esta vulnerabilidad puede permitir la ejecución de código arbitrario por intrusos remotos. Varias fuentes han reportado que esta vulnerabilidad puede ser utilizada por intrusos para ejecutar código arbitrario en plataformas Windows. Adicionalmente, Apache Software Foundation ha reportado que un ataque similar podría permitir la ejecución de código arbitrario en sistemas UNIX de 64 bits. Para las versiones de Apache de la 2.0 a la 2.0.36, la condición que causa la vulnerabilidad es detectada de forma correcta y causa que el proceso termine. Dependiendo de una variedad de factores, incluyendo el modelo soportado por el sistema vulnerable, puede permitir un ataque de negación de servicio contra el servidor web de Apache. SOLUCIONES ---------- * Aplicar un Parche de su Distribuidor Aplique un parche de su distribuidor para corregir esta vulnerabilidad. El CERT/UNAM-CERT han sido informados por Apache Software Foundation que el parche proporcionado en el boletín de ISS sobre este tema no corrige completamente esta vulnerabilidad. Mayor información acerca de parches de distribuidores específicos puede ser encontrada en la sección de distribuidores de este documento. * Actualizar a la Última Versión Apache Software Foundation ha liberado dos nuevas versiones de Apache que corrigen esta vulnerabilidad. Los administradores de sistemas pueden prevenir el exploit de esta vulnerabilidad actualizando a la versión 1.3.25 ó 2.0.39 de Apache. La nueva versión de Apache estará disponible de su sitio web en: http://httpd.apache.org/ APÉNDICE A. Información de Distribuidores ----------------------------------------- Este Apéndice contiene información proporcionada por los distribuidores de éste boletín. Tan pronto como los distribuidores reporten nueva información al CERT/UNAM-CERT, se actualizará esta sección. Si un distribuidor en particular no se encuentra listado a continuación, significa que no se han recibido comentarios de su parte. Apache Software Foundation Nuevas versiones del software de Apache están disponibles en: http://httpd.apache.org/ Conectiva Linux El servidor web de Apache de Conectiva Linux es vulnerable a este problema. Nuevos Paquetes donde se solucionan este problema serán anunciados en la lista de correo después de que una solución oficial se encuentre disponible. Cray, Inc Cray, Inc. no distribuye Apache con ninguno de sus sistemas operativos. IBM Corporation IBM hace al Servidor Apache disponible para todos los usuarios de AIX como un paquete de software bajo la iniciativa AIX-Linux Affinity. Este paquete esta incluido en el AIX Toolbox del CD de Aplicaciones de Linux y puede ser descargado del sitio web de IBM Linux Affinity. La versión actualmente disponible del Servidor Apache es susceptible a la vulnerabilidad descrita en este boletín. IBM actualizará el Servidor Apache ofreciendo en un corto tiempo la versión 1.3.23, incluyendo el parche para esta vulnerabilidad; esta actualización estará disponible de ser descarga en el URL: http://www-1.ibm.com/servers/aix/products/aixos/linux/download.html y siguiendo las instrucciones aquí presentadas. Se debe hacer notar que el Servidor Apache, y todo el software de Linux Affinity, es ofrecido básicamente "tal como es". IBM no es propietario del código fuente de su software, no tiene desarrollado y completamente probado su código. IBM no soporta estos paquetes de software. Lotus Se ha verificado que el servidor web Lotus Domino no es vulnerable a este tipo de problema. De igual forma, el código de Apache no esta disponible en ningún producto de Lotus. Microsoft Corporation Microsoft no contiene el servidor web de Apache. Network Appliance Los sistemas NetApp no son vulnerables a este problema. Red Hat Inc. Red Hat distribuye la versión 1.3 de Apache en todas las distribuciones de Linux Red Hat, y como parte de Stronghold. Sin embargo Apache no se distribuye para Windows. Actualmente se esta investigando el problema y se trabajará en la producción de los paquetes de errata cuando una solución oficial para el problema este disponible. Cuando estas actualizaciones estén completas estarán disponibles del URL mostrado abajo. Al mismo tiempo los usuarios de Red Hat Network serán capaces de actualizar sus sistemas utilizando la herramienta "up2date". http://rhn.redhat.com/errata/RHSA-2002-103.html Unisphere Networks Unisphere Networks SDX-300 Service Deployment System (aka. SSC) utiliza Apache 1.3.24. Se está liberando la Versión 3.0 utilizando Apache 1.3.25, y se emitirá un parche para SSC Versión 2.0.3 próximamente. INFORMACIÓN ----------- Éste documento se encuentra disponible en su formato original en la siguiente dirección: http://www.cert.org/advisories/CA-2002-017.html Para mayor información acerca de éste boletín de seguridad contactar a: UNAM CERT Equipo de Respuesta a Incidentes UNAM Departamento de Seguridad en Computo DGSCA - UNAM E-Mail : seguridad en seguridad unam mx http://www.unam-cert.unam.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel : 56 22 81 69 Fax : 56 22 80 43 -----BEGIN PGP SIGNATURE----- Version: 2.6.3i Charset: cp850 iQEVAwUBPQ+QxXAvLUtwgRsVAQGhTAf+OHrTOY1ZH5uZYMCFaLxtyL2V/LQl5VtI +MWJmSfTUcS6rZtfUgBmLj0anBHI1fdmACzuB+oK9H8RDys3iJHat02unARE6Nth TFmCAM0iuqHTi+hl/WJr7k4xzov0oLp3N4CRhcIn3adQ6VDz7cjY+nPIYJ7wr+LI JSrZl4koH9cXZHy1CPAJkb1SNjs0i1RkZoRuuAhtOjBPTZ4cKZhXPU6zGNGDqYzv 9hz8dd/8Ra5bDSJH8PzTv1m2aN3oL9mdSlqroHfI1fMj2CRt/LfosOxgTNiZMAdq gxrYu7OURP+H7onfBkIyW473oV2fbKv06kr/VLNr1Kjwb6dGC5Gl9Q== =eLOF -----END PGP SIGNATURE----- Lista de correo linux en linux net mx Preguntas linux-owner en linux net mx http://www.linux.net.mx/