Ubuntu liberó actualizaciones para varios paquetes. Estas reparán varias vulnerabilidades y errores de seguridad, que pueden explotarse para causar una negación de servicio (DoS), y posiblemente burlar ciertas restricciones de seguridad o comprometer un sistema vulnerable.
Ubuntu Security Notice
USN-177-1
Ubuntu Linux 4.10 | Apache2 | < | 2.0.50-12ubuntu4.8 |
Ubuntu Linux 4.10 | libapache-mod-ssl | < | 2.8.18-1ubuntu1 |
Ubuntu Linux 5.04 | Apache2 | < | 2.0.53-5ubuntu5.3 |
Ubuntu Linux 5.04 | libapache-mod-ssl | < | 2.8.22-1ubuntu1 |
Ubuntu liberó actualizaciones para varios paquetes. Estas reparán varias vulnerabilidades y errores de seguridad, que pueden explotarse por personas maliciosas para causar una negación de servicio (DoS), y posiblemente burlar ciertas restricciones de seguridad o comprometer un sistema vulnerable.
Hay un error en ssl_engine_kernel.c, ya que no puede implementar apropiadamente "SSLVerifyClient require" dentro del contexto del sitio cuando se utiliza "SSLVerifyClient optional" en la configuración del host virtual, permitiendo a atacantes remotos burlar la validación del certificado.
Filip Sneppe encontró un error en el filtro de rango cuando maneja una petición con cabecera HTTP "Range", puede explotarse para ocasionar que Apache consuma una gran cantidad de memoria.
La actualización de libapache-mod-ssl también incluye la reparación a dos DoSs: un error de formato de cadena en la función ssl_log() que podía explotarse para tirar al servidor, y un error en la gestión del cifrado SSL que podía explotarse para terminar una sesión.
Security Bypass.
Negación de servicio (DoS).
Acceso al sistema.
Aplicar los paquetes actualizados.
-- Ubuntu Linux 4.10 --
Archivos fuente:
http://security.ubuntu.com/ubuntu/pool/main/a/apache2/apache2_2.0.50-12ubuntu4.8.diff.gz
MD5: 101542 107c0d44c3668596c431b922cef7108e
http://security.ubuntu.com/ubuntu/pool/main/a/apache2/apache2_2.0.50-12ubuntu4.8.dsc
MD5: 1152 e46ab252f55b3cddca6eff7411e6310c
http://security.ubuntu.com/ubuntu/pool/main/a/apache2/apache2_2.0.50.orig.tar.gz
MD5: 6321209 9d0767f8a1344229569fcd8272156f8b
http://security.ubuntu.com/ubuntu/pool/universe/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.18-1ubuntu1.diff.gz
MD5: 31850 278b1fcaebc9890ac6a667c5fe59adf2
http://security.ubuntu.com/ubuntu/pool/universe/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.18-1ubuntu1.dsc
MD5: 779 007a277c901888314ed8e4990ff2af2d
http://security.ubuntu.com/ubuntu/pool/universe/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.18.orig.tar.gz
MD5: 754214 4e966d62bb9304fef153b03868756543
-- Ubuntu Linux 5.04 --
Archivos fuente:
http://security.ubuntu.com/ubuntu/pool/main/a/apache2/apache2_2.0.53-5ubuntu5.3.diff.gz
MD5: 108139 d03a3b3df92bd7492384468dd85c5507
http://security.ubuntu.com/ubuntu/pool/main/a/apache2/apache2_2.0.53-5ubuntu5.3.dsc
MD5: 1159 9cdcd80b25f4fa25ef5bd14197f273ff
http://security.ubuntu.com/ubuntu/pool/main/a/apache2/apache2_2.0.53.orig.tar.gz
MD5: 6925351 40507bf19919334f07355eda2df017e5
http://security.ubuntu.com/ubuntu/pool/universe/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.22-1ubuntu1.diff.gz
MD5: 30251 693e83c3a2524250bdf3dc6ab85d4e1d
http://security.ubuntu.com/ubuntu/pool/universe/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.22-1ubuntu1.dsc
MD5: 779 53fb3e656c367b4d6e2271604acf92e5
http://security.ubuntu.com/ubuntu/pool/universe/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.22.orig.tar.gz
MD5: 754606 cdfdf1f576f77768c90825b43b462405
Mayor información.
http://www.ubuntulinux.org/La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT