int(51)

Boletines de Vulnerabilidades


Desbordamientos de búfer en el programa de soporte benchmark (ab.c) de Apache

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Denegación de Servicio
Dificultad Avanzado
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricante afectado GNU/Linux
Software afectado Apache Software Foundation Apache

Descripción

Se han descubierto diversos desbordamientos de búfer en el programa de soporte benchmark (ab.c) de Apache (versiones anteriores a la 1.3.27) y Apache 2.x (versiones anteriores a la 2.0.43). La explotación de esta vulnerabilidad podría resultar en una denegación de servicio y, posiblemente, en la ejecución de código arbitrario de forma remota mediante una respuesta excesivamente larga.

Solución



Actualización de software a la versión 1.3.27 o 2.0.43
Apache
http://www.apache.org

Identificadores estándar

Propiedad Valor
CVE CAN-2002-0839
CAN-2002-0840
CAN-2002-0843
BID

Recursos adicionales

CONFIRM
http://www.apacheweek.com/issues/02-10-04

CONFIRM
http://marc.theaimsgroup.com/?l=apache-httpd-announce&m=103367938230488&w=2

CONECTIVA:CLA-2002:530
http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000530

ENGARDE:ESA-20021007-024
http://www.linuxsecurity.com/advisories/other_advisory-2414.html

MANDRAKE:MDKSA-2002:067
http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-067.php

BUGTRAQ:20021003 [OpenPKG-SA-2002.009] OpenPKG Security Advisory (apache)
http://marc.theaimsgroup.com/?l=bugtraq&m=103376585508776&w=2

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2003-10-21

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT