1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2005-399 Actualización de Ubuntu para múltiples paquetes.

Ubuntu liberó actualizaciones para varios paquetes. Estas reparán varias vulnerabilidades y errores de seguridad, que pueden explotarse para causar una negación de servicio (DoS), y posiblemente burlar ciertas restricciones de seguridad o comprometer un sistema vulnerable.

  • Fecha de Liberación: 7-Sep-2005
  • Fuente:

    Ubuntu Security Notice
    USN-177-1
  • CVE ID: CAN-2004-0885 CAN-2004-2700 CAN-2005-2700 CAN-2005-2728
  • Riesgo Altamente crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Múltiples vulnerabilidades

Sistemas Afectados

Ubuntu Linux 4.10 Apache2 < 2.0.50-12ubuntu4.8
Ubuntu Linux 4.10 libapache-mod-ssl < 2.8.18-1ubuntu1
Ubuntu Linux 5.04 Apache2 < 2.0.53-5ubuntu5.3
Ubuntu Linux 5.04 libapache-mod-ssl < 2.8.22-1ubuntu1

  1. Descripción

    Ubuntu liberó actualizaciones para varios paquetes. Estas reparán varias vulnerabilidades y errores de seguridad, que pueden explotarse por personas maliciosas para causar una negación de servicio (DoS), y posiblemente burlar ciertas restricciones de seguridad o comprometer un sistema vulnerable.

    • Hay un error en ssl_engine_kernel.c, ya que no puede implementar apropiadamente "SSLVerifyClient require" dentro del contexto del sitio cuando se utiliza "SSLVerifyClient optional" en la configuración del host virtual, permitiendo a atacantes remotos burlar la validación del certificado.

    • Filip Sneppe encontró un error en el filtro de rango cuando maneja una petición con cabecera HTTP "Range", puede explotarse para ocasionar que Apache consuma una gran cantidad de memoria.

    • La actualización de libapache-mod-ssl también incluye la reparación a dos DoSs: un error de formato de cadena en la función ssl_log() que podía explotarse para tirar al servidor, y un error en la gestión del cifrado SSL que podía explotarse para terminar una sesión.

  2. Impacto

    Security Bypass.

    Negación de servicio (DoS).

    Acceso al sistema.

  3. Solución

    Aplicar los paquetes actualizados.

    -- Ubuntu Linux 4.10 --

    Archivos fuente:
    http://security.ubuntu.com/ubuntu/pool/main/a/apache2/apache2_2.0.50-12ubuntu4.8.diff.gz
    MD5: 101542 107c0d44c3668596c431b922cef7108e
    http://security.ubuntu.com/ubuntu/pool/main/a/apache2/apache2_2.0.50-12ubuntu4.8.dsc
    MD5: 1152 e46ab252f55b3cddca6eff7411e6310c
    http://security.ubuntu.com/ubuntu/pool/main/a/apache2/apache2_2.0.50.orig.tar.gz
    MD5: 6321209 9d0767f8a1344229569fcd8272156f8b
    http://security.ubuntu.com/ubuntu/pool/universe/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.18-1ubuntu1.diff.gz
    MD5: 31850 278b1fcaebc9890ac6a667c5fe59adf2
    http://security.ubuntu.com/ubuntu/pool/universe/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.18-1ubuntu1.dsc
    MD5: 779 007a277c901888314ed8e4990ff2af2d
    http://security.ubuntu.com/ubuntu/pool/universe/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.18.orig.tar.gz
    MD5: 754214 4e966d62bb9304fef153b03868756543

    -- Ubuntu Linux 5.04 --

    Archivos fuente:
    http://security.ubuntu.com/ubuntu/pool/main/a/apache2/apache2_2.0.53-5ubuntu5.3.diff.gz
    MD5: 108139 d03a3b3df92bd7492384468dd85c5507
    http://security.ubuntu.com/ubuntu/pool/main/a/apache2/apache2_2.0.53-5ubuntu5.3.dsc
    MD5: 1159 9cdcd80b25f4fa25ef5bd14197f273ff
    http://security.ubuntu.com/ubuntu/pool/main/a/apache2/apache2_2.0.53.orig.tar.gz
    MD5: 6925351 40507bf19919334f07355eda2df017e5
    http://security.ubuntu.com/ubuntu/pool/universe/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.22-1ubuntu1.diff.gz
    MD5: 30251 693e83c3a2524250bdf3dc6ab85d4e1d
    http://security.ubuntu.com/ubuntu/pool/universe/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.22-1ubuntu1.dsc
    MD5: 779 53fb3e656c367b4d6e2271604acf92e5
    http://security.ubuntu.com/ubuntu/pool/universe/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.22.orig.tar.gz
    MD5: 754606 cdfdf1f576f77768c90825b43b462405

  4. Apéndices

    Mayor información.

    http://www.ubuntulinux.org/

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Floriberto López Velázquez (flopez at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47

Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT