[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Cómputo
DGSCA - UNAM
Boletín de Seguridad UNAM-CERT 2002-017
Vulnerabilidad en el Manejo de Datos en el Servidor Web de Apache
------------------------------------------------------------------
El CERT/UNAM-CERT , a través de sus equipos de respuesta a
incidentes de Seguridad en Cómputo, han emitido éste boletín en el
cual informan de la existencia de una vulnerabilidad remotamente
explotable en el manejo de una gran cantidad de datos en los
servidores web que están basados en código fuente de Apache.
La vulnerabilidad está presente en configuraciones por default de
los servidores web de Apache en las versiones 1.3 a la 1.3.24 y en
las versiones 2.0 a la 2.0.36. El impacto de esta vulnerabilidad
depende de la versión del software y la plataforma de hardware en
la que el servidor se este ejecutando.
Fecha de
Liberación: 17 de Junio de 2002
Ultima Revisión: ---
CERT/CC y diversos reportes
Fuente: de Equipos de Respuesta a
Incidentes.
SISTEMAS AFECTADOS
-----------------
* Servidores Web basados en Código de Apache versiones de la
1.3 a la 1.3.24
* Servidores Web basados en Código de Apache versiones de la
2.0 a la 2.0.36
DESCRIPCIÓN
-----------
Apache es un servidor web popular en el mercado que incluye
soporte para una codificación grande de datos en conjunto con el
estándar HTTP 1.1 que se describe en el RFC2616. Existe una
vulnerabilidad en el manejo de ciertos requerimientos HTTP
codificados que pueden permitir a intrusos remotos ejecutar código
arbitrario.
Apache Software Foundation ha publicado un boletín el que describe
los detalles de esta vulnerabilidad. Este boletín esta disponible
en su sitio web en:
http://httpd.apache.org/info/security_bulletin_20020617.txt
IMPACTO
-------
Para las versiones de Apache de la 1.3 a la 1.3.24, esta
vulnerabilidad puede permitir la ejecución de código arbitrario
por intrusos remotos. Varias fuentes han reportado que esta
vulnerabilidad puede ser utilizada por intrusos para ejecutar
código arbitrario en plataformas Windows. Adicionalmente, Apache
Software Foundation ha reportado que un ataque similar podría
permitir la ejecución de código arbitrario en sistemas UNIX de 64
bits.
Para las versiones de Apache de la 2.0 a la 2.0.36, la condición
que causa la vulnerabilidad es detectada de forma correcta y causa
que el proceso termine. Dependiendo de una variedad de factores,
incluyendo el modelo soportado por el sistema vulnerable, puede
permitir un ataque de negación de servicio contra el servidor web
de Apache.
SOLUCIONES
----------
* Aplicar un Parche de su Distribuidor
Aplique un parche de su distribuidor para corregir esta
vulnerabilidad. El CERT/UNAM-CERT han sido informados por Apache
Software Foundation que el parche proporcionado en el boletín de
ISS sobre este tema no corrige completamente esta vulnerabilidad.
Mayor información acerca de parches de distribuidores específicos
puede ser encontrada en la sección de distribuidores de este
documento.
* Actualizar a la Última Versión
Apache Software Foundation ha liberado dos nuevas versiones de
Apache que corrigen esta vulnerabilidad. Los administradores de
sistemas pueden prevenir el exploit de esta vulnerabilidad
actualizando a la versión 1.3.25 ó 2.0.39 de Apache. La nueva
versión de Apache estará disponible de su sitio web en:
http://httpd.apache.org/
APÉNDICE A. Información de Distribuidores
-----------------------------------------
Este Apéndice contiene información proporcionada por los
distribuidores de éste boletín. Tan pronto como los distribuidores
reporten nueva información al CERT/UNAM-CERT, se actualizará esta
sección. Si un distribuidor en particular no se encuentra listado
a continuación, significa que no se han recibido comentarios de su
parte.
Apache Software Foundation
Nuevas versiones del software de Apache están
disponibles en:
http://httpd.apache.org/
Conectiva Linux
El servidor web de Apache de Conectiva Linux es
vulnerable a este problema. Nuevos Paquetes donde se
solucionan este problema serán anunciados en la lista de
correo después de que una solución oficial se encuentre
disponible.
Cray, Inc
Cray, Inc. no distribuye Apache con ninguno de sus
sistemas operativos.
IBM Corporation
IBM hace al Servidor Apache disponible para todos los
usuarios de AIX como un paquete de software bajo la
iniciativa AIX-Linux Affinity. Este paquete esta
incluido en el AIX Toolbox del CD de Aplicaciones de
Linux y puede ser descargado del sitio web de IBM Linux
Affinity. La versión actualmente disponible del Servidor
Apache es susceptible a la vulnerabilidad descrita en
este boletín. IBM actualizará el Servidor Apache
ofreciendo en un corto tiempo la versión 1.3.23,
incluyendo el parche para esta vulnerabilidad; esta
actualización estará disponible de ser descarga en el
URL:
http://www-1.ibm.com/servers/aix/products/aixos/linux/download.html
y siguiendo las instrucciones aquí presentadas.
Se debe hacer notar que el Servidor Apache, y todo el
software de Linux Affinity, es ofrecido básicamente "tal
como es". IBM no es propietario del código fuente de su
software, no tiene desarrollado y completamente probado
su código. IBM no soporta estos paquetes de software.
Lotus
Se ha verificado que el servidor web Lotus Domino no es
vulnerable a este tipo de problema. De igual forma, el
código de Apache no esta disponible en ningún producto
de Lotus.
Microsoft Corporation
Microsoft no contiene el servidor web de Apache.
Network Appliance
Los sistemas NetApp no son vulnerables a este problema.
Red Hat Inc.
Red Hat distribuye la versión 1.3 de Apache en todas las
distribuciones de Linux Red Hat, y como parte de
Stronghold. Sin embargo Apache no se distribuye para
Windows. Actualmente se esta investigando el problema y
se trabajará en la producción de los paquetes de errata
cuando una solución oficial para el problema este
disponible. Cuando estas actualizaciones estén completas
estarán disponibles del URL mostrado abajo. Al mismo
tiempo los usuarios de Red Hat Network serán capaces de
actualizar sus sistemas utilizando la herramienta
"up2date".
http://rhn.redhat.com/errata/RHSA-2002-103.html
Unisphere Networks
Unisphere Networks SDX-300 Service Deployment System
(aka. SSC) utiliza Apache 1.3.24. Se está liberando la
Versión 3.0 utilizando Apache 1.3.25, y se emitirá un
parche para SSC Versión 2.0.3 próximamente.
INFORMACIÓN
-----------
Éste documento se encuentra disponible en su formato original en
la siguiente dirección:
http://www.cert.org/advisories/CA-2002-017.html
Para mayor información acerca de éste boletín de seguridad
contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : seguridad en seguridad unam mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
-----BEGIN PGP SIGNATURE-----
Version: 2.6.3i
Charset: cp850
iQEVAwUBPQ+QxXAvLUtwgRsVAQGhTAf+OHrTOY1ZH5uZYMCFaLxtyL2V/LQl5VtI
+MWJmSfTUcS6rZtfUgBmLj0anBHI1fdmACzuB+oK9H8RDys3iJHat02unARE6Nth
TFmCAM0iuqHTi+hl/WJr7k4xzov0oLp3N4CRhcIn3adQ6VDz7cjY+nPIYJ7wr+LI
JSrZl4koH9cXZHy1CPAJkb1SNjs0i1RkZoRuuAhtOjBPTZ4cKZhXPU6zGNGDqYzv
9hz8dd/8Ra5bDSJH8PzTv1m2aN3oL9mdSlqroHfI1fMj2CRt/LfosOxgTNiZMAdq
gxrYu7OURP+H7onfBkIyW473oV2fbKv06kr/VLNr1Kjwb6dGC5Gl9Q==
=eLOF
-----END PGP SIGNATURE-----
Lista de correo linux en linux net mx
Preguntas linux-owner en linux net mx
http://www.linux.net.mx/