LINUX.ORG.RU

Уязвимость Apache Mod_SSL


0

0

Обнаружена критическая уязвимость в Apache Mod_SSL при кодировании бинарных данных в uuencode, вызванная переполнением стека. Может привести к атаке DOS (отказ в обслуживании), а также выполнении произвольного кода на удалённой системе. Уязвимы все доступные на данный момент версии Apache. Группа OpenPKG единственная выпустила заплату.
Скачать:
ftp://ftp.openpkg.org/release/1.3/UPD...
ftp://ftp.openpkg.org/release/2.0/UPD...

>>> Подробности

★★★★★

Проверено: Demetrio

Re: Уязвимость Apache Mod_SSL

>Уязвимы все доступные на данный момент версии Apache. Группа OpenPKG >единственная выпустила заплату.

2birdie

Птичкин, оставфь трафы.

From: Ralf S. Engelschall
Subject: [ANNOUNCE] mod_ssl 2.8.18
Date: Thu, 27 May 2004 06:22:22 -0700

A security issue was discovered.
It is now fixed with mod_ssl 2.8.18.

Sun-ch ()
Ответ на: Re: Уязвимость Apache Mod_SSL от Sun-ch

Re: Re: Уязвимость Apache Mod_SSL

> Птичкин, оставфь трафы.

А по-русски? Что-то я не понял что ты конкрутно имеешь в виду?

birdie ★★★★★ ()
Ответ на: Re: Re: Уязвимость Apache Mod_SSL от birdie

Re: Re: Re: Уязвимость Apache Mod_SSL

> Ну а как же с версией 2.0.40 быть?

Можно попробовать пропатчить, если так не терпится :)

http://cvs.apache.org/viewcvs.cgi/httpd-2.0/modules/ssl/ssl_engine_kernel.c?r...

А можно и подождать, пока RedHat бэкпортирует на 2.0.40. (Это ведь из RH9 взялась версия 2.0.40, или как?)

Vond ★★ ()

Re: Уязвимость Apache Mod_SSL

Securityfocus.com:

The issue is not believed to be exploitable to execute arbitrary code on x86 architectures, though this may not be the case with other architectures.

inductor ()
Ответ на: Re: Re: Re: Уязвимость Apache Mod_SSL от Vond

Re: Re: Re: Re: Уязвимость Apache Mod_SSL

> А можно и подождать, пока RedHat бэкпортирует на 2.0.40. (Это ведь из RH9 взялась версия 2.0.40, или как?)

Ага, из редхата. Но проблема в том, что редхат уже больше не поддерживает 9ку. И откуда ждать апдэйтов не совсем понятно. Можно понадеяться, что чуваки из http://www.fedoralegacy.org/ быстро пошевелят жопой и чего-нибудь выпустят. Но если в течение пары дней ничего не появится - то придётся в срочном порядке трахать мозг.

afk ()

Re: Уязвимость Apache Mod_SSL

Я так понимаю Apache 2.0.49 на Linux x86 это не касается.

Vide ()
Ответ на: Re: Уязвимость Apache Mod_SSL от x97Rang

Re: Уязвимость Apache Mod_SSL

> Переходим на publicfile, задолбал апач дырки
> каждый месяц выпускать, все на http://cr.yp.to/publicfile.html

Классный сервер. Безопасный. Только нефига не умееет.
Кому такое чудо надо?

bormann ()
Ответ на: Re: Re: Re: Re: Уязвимость Apache Mod_SSL от afk

Re: Re: Re: Re: Re: Уязвимость Apache Mod_SSL

> Ага, из редхата. Но проблема в том, что редхат уже больше не поддерживает 9ку. И откуда ждать апдэйтов не совсем понятно.

Точно, я и забыл уже :)

А в чём проблема собрать самому 2.0.49 (+ исправление для mod_ssl по ссылке выше)? Там даже spec-файл уже есть (в httpd-2.0.49.tar.gz)

Vond ★★ ()
Ответ на: Re: Re: Re: Уязвимость Apache Mod_SSL от anonymous

Re: Re: Re: Re: Уязвимость Apache Mod_SSL

> uscpi-tcp Прочитал, все здорово, но каким образом это можно использовать для того чтобы из обычного браузера (например IE) работать с сайтом через ssl-соединение ?

Vide ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.