Vulnerability Bulletins |
Múltiples vulnerabilidades en Apache |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Aumento de privilegios |
| Dificulty | Experto |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software | Apache 1.3, 1.3.1, 1.3.3, 1.3.4, 1.3.6, 1.3.9, 1.3.11, 1.3.12, 1.3.14, 1.3.17 - 1.3.20, 1.3.22 - 1.3.27 |
Description |
|
|
Se han descubierto diversas vulnerabilidades en el servidor HTTP Apache. Apache crea ficheros temporales inseguros para htpasswd y htdigest. Como resultado un atacante podría leer o modificar en modo local el fichero de contraseñas para Apache. La utilidad htdigest es susceptible a una vulnerabilidad que permite la ejecución de cualquier comando. Este bug se debe a llamadas al sistema inseguras durante el procesado de las opciones de la linea de comandos. La utilidad htdigest es susceptible a diversas vulnerabilidades de desbordamiento de búfer que podrían resultar en una denegación de servicio o, incluso, en la ejecución de código arbitrario. |
|
Solution |
|
|
Actualización de software Apache Versión 1.3.28 http://apache.rediris.es/httpd/apache_1.3.28.tar.gz |
|
Standar resources |
|
| Property | Value |
| CVE | CAN-2002-1233 |
| BID | |
Other resources |
|
|
Bugtraq ID: 5990 http://online.securityfocus.com/bid/5990 Bugtraq ID: 5991 http://online.securityfocus.com/bid/5991 Bugtraq ID: 5992 http://online.securityfocus.com/bid/5992 Bugtraq ID: 5993 http://online.securityfocus.com/bid/5993 |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2003-10-21 |