gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
1st Apache serious bug ?
Contribuído por scorpio em 18-06-02 13:51
do departamento a-patchy-server
Web on Fire xeon escreve "Primeiro as más noticias: O CERT lancou um advisory ( CERT Advisory CA-2002-17 Apache Web Server Chunk Handling Vulnerability ) sobre uma vulnerabilidade no Apache Web Server. O ISS tambe'm ( ISS Advisory: Remote Compromise Vulnerability in Apache HTTP Server).
Os senhores da Apache Software Foundation ja' responderam ...

As "boas" noticias e' que, aparentemente so' as versoes de Apache for Windows e Apache for 64Bit Unix Platforms e' que sao potencialmente vulneraveis a um remote exploit (mas TODAS sao potencialmente vulneraveis a um DoS).
Nas palavras da ASF:[continua] "
In Apache 1.3 the issue causes a stack overflow. Due to the nature of the overflow on 32-bit Unix platforms this will cause a segmentation violation and the child will terminate. However on 64-bit platforms the overflow can be controlled and so for platforms that store return addresses on the stack it is likely that it is further exploitable. This could allow arbitrary code to be run on the server as the user the Apache children are set to run as.

So' espero que seja o primeiro ... e o ultimo :-)

ADSL mais cara da europa ..... onde ? | Nova versão PHP 4.3 Melhorias significativas em OO  >

 

gildot Login
Login:

Password:

Referências
  • xeon
  • responderam
  • Mais acerca Web on Fire
  • Também por scorpio
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    Open Source Magic (Pontos:1, Informativo)
    por lbruno em 18-06-02 15:37 GMT (#1)
    (Utilizador Info) http://i.hate.spammers.yi.org/~lbruno/

    Para OpenBSD: patch

    Para outros sistemas, o patch acima deve ser aplicavel sem espinhas

    Cheers,
    Luis Bruno


    Cheers,
    Luis Bruno

    Re:Open Source Magic (Pontos:2)
    por Branc0 em 18-06-02 16:58 GMT (#2)
    (Utilizador Info) http://www.syners.org
    Ena... esse patch foi tão rapido que quase parecia um patch fornecido por uma empresa de software proprietario quando os seus produtos são afectados... ai não parecia? Oops...


    "Se vi mais além do que outro, é porque estava nos ombros de gigantes."
    Sir Isaac Newton

    Re:Open Source Magic (Pontos:2)
    por xeon em 18-06-02 17:31 GMT (#4)
    (Utilizador Info) http://pthelp.org
    Heheh.

    BTW, a propria ISS, juntamente com o advisory, ja' acrescentava isto:

    To apply a source code patch to your Apache package:

    1. Locate your source directory and navigate into the "main" sub-directory.
    2. Verify that "http_protocol.c" is present in the current directory.
    3. To update your http_protocol.c file, create a file named "apache_patch.diff", containing the following text:

    - --- http_protocol.c.vuln Fri Jun 14 16:12:50 2002
    +++ http_protocol.c Fri Jun 14 16:13:47 2002
    @@ -2171,7 +2171,7 @@

              /* Otherwise, we are in the midst of reading a chunk of data */

    - - len_to_read = (r->remaining > bufsiz) ? bufsiz : r->remaining;
    + len_to_read = (r->remaining > (unsigned int)bufsiz) ? bufsiz : r->remaining;

              len_read = ap_bread(r->connection->client, buffer, len_to_read);
              if (len_read = 0) {

    4. Apply the source code update using the "patch" command, or a similar
          utility.
    5. Build new binaries and reinstall.

    Nao podiam ter sido mais rapidos :-)
    -- Reading the FM
    Re:Open Source Magic (Pontos:0, Informativo)
    por Anonimo Cobarde em 18-06-02 17:50 GMT (#5)
    Li esta thread assim muito por alto, mas caso nao saibas, o patch criado pela ISS é um tanto lame, porque segundo a equipa do Apache, nao resolve todos os "issues" e os que resolve, não é pela melhor maneira.
    Ainda para cumulo a ISS lancou este advisory quando este bug ja tinha sido descoberto algum tempo antes, e ja estava a ser tratado pela equipa do Apache, sendo portanto esta release da ISS bastante irresponsável e mais virada para a publicidade á empresa do que para a contribuicao da qualidade do Apache como servidor HTTP open source.
    A-patchy-server (Pontos:1)
    por Lameiro em 18-06-02 17:25 GMT (#3)
    (Utilizador Info) http://www.lesi4ever.com

    De qualquer maneira, o "a-patchy-server" é o servidor WWW recomendado pelos gildotianos como se pode verificar aqui.


    -=[ Lameiro ]=-
    Patch do CVS da Apache (Pontos:2, Informativo)
    por freax em 18-06-02 19:12 GMT (#6)
    (Utilizador Info) http://guilherme.host-valley.com
    Dizem que pode não ser o patch definitivo já que eles parecem estar sempre a trabalhar no http_protocol.c
    Estes tipos dizem tb que o patch que vem no advisory da ISS está errado :-/ o que parece confirmar pelos comentários do slashdot

    http://ce rt.uni-stuttgart.de/files/fw/apache-1.3.24-chunked-encoding.diff

    []'s
    Apache 1.3.26 (Pontos:1)
    por noc em 19-06-02 2:15 GMT (#7)
    (Utilizador Info) http://alloserv.sonet.pt
    Entretanto, o Apache 1.3.26 já ai está.

    http://httpd.apache.org

    Cumps.
    Já está! (Pontos:2)
    por mlopes em 19-06-02 11:22 GMT (#12)
    (Utilizador Info)

    Users of Apache 1.3 should upgrade to 1.3.26, and users of Apache 2.0 should upgrade to 2.0.39, which contain a fix for this issue.

    Já está corrigido!


    "They that can give up essential liberty to obtain a little temporary safety deserve neither liberty nor safety."

    -- Benjamin Franklin, 1759
    ... (Pontos:2)
    por CrLf em 20-06-02 15:01 GMT (#14)
    (Utilizador Info) http://students.fct.unl.pt/~cer09566
    Entretanto para quem usa RedHat, já existem pacotes nos updates.

    -- Carlos Rodrigues

     

     

    [ Topo | FAQ | Editores | Contacto ]