Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en Apache |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Aumento de privilegios |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricant afectat | GNU/Linux |
Software afectado | Apache 1.3, 1.3.1, 1.3.3, 1.3.4, 1.3.6, 1.3.9, 1.3.11, 1.3.12, 1.3.14, 1.3.17 - 1.3.20, 1.3.22 - 1.3.27 |
Descripción |
|
Se han descubierto diversas vulnerabilidades en el servidor HTTP Apache. Apache crea ficheros temporales inseguros para htpasswd y htdigest. Como resultado un atacante podría leer o modificar en modo local el fichero de contraseñas para Apache. La utilidad htdigest es susceptible a una vulnerabilidad que permite la ejecución de cualquier comando. Este bug se debe a llamadas al sistema inseguras durante el procesado de las opciones de la linea de comandos. La utilidad htdigest es susceptible a diversas vulnerabilidades de desbordamiento de búfer que podrían resultar en una denegación de servicio o, incluso, en la ejecución de código arbitrario. |
|
Solución |
|
Actualización de software Apache Versión 1.3.28 http://apache.rediris.es/httpd/apache_1.3.28.tar.gz |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CAN-2002-1233 |
BID | |
Recursos adicionales |
|
Bugtraq ID: 5990 http://online.securityfocus.com/bid/5990 Bugtraq ID: 5991 http://online.securityfocus.com/bid/5991 Bugtraq ID: 5992 http://online.securityfocus.com/bid/5992 Bugtraq ID: 5993 http://online.securityfocus.com/bid/5993 |
Histórico de versiones |
||
Versión | Comentario | Data |
1.0 | Aviso emitido | 2003-10-21 |