USN-860-1 Noviembre 19, 2009 apache2

sismo
12/29/2009 - 14:19

Errores detectados:

CVE-2009-3555

Marsh Ray y Steve Dispensa descubrieron fallas en los protocolos TLS y SSLv3. 

Si un atacante puede realizar un atacanque hombre en el medio e iniciar una conexión TLS, el atacante puede inyectar contenido en forma arbitraria en el inicio de la sesión del usuario.

La falla en la re-negociación TLS afecta potencialmente a cualquier software que soporte esta funcionalidad.  

Ataques contra el protocolo HTTPS son conocidos, la severidad del problema depende de las medidas de seguridad implementadas en la aplicación web.  Hasta que el protocolo TLS y las librerías asociadas sean modificadas para defenderse de esta vulnerabilidad, una solución parcial fue aplicada al Apache para deshabilitar la re-negociación TLS iniciada por el cliente.  Esta actualización no protege contra el re-negociaciones TLS's iniciadas cuando se usa SSLVerifyClient y SSLCipherSuite.

CVE-2009-3094

Fue descubierto que mod_proxy_ftp en apache no limpia adecuadamente las entradas cuando procesa respuestas a los comandos EPASV y PASV.  Un atacante puede usar esto para causar una negación de servicio en el proceso de Apache hijo.

CVE-2009-3095

Otra falla fue descubierta en mod_proxy_ftp.  Si apache es configurado como proxy reverso, un atacante puede enviar un encabezado HTTP especialmente diseñado para saltear los controles de acceso y enviar comandos en forma arbitraria al servidor FTP.

Versiones afectadas:

  • Ubuntu 6.06 LTS
  • Ubuntu 8.04 LTS
  • Ubuntu 8.10
  • Ubuntu 9.04
  • Ubuntu 9.10

Este aviso también aplica para versiones Kubuntu, Edubuntu, and Xubuntu.

Solución:

El problema puede ser corregido actualizando el sistema a la siguiente versión de paquete:

  • Ubuntu 6.06 LTS:
    • apache2-common 2.0.55-4ubuntu2.9
  • Ubuntu 8.04 LTS:
    • apache2.2-common 2.2.8-1ubuntu0.14
  • Ubuntu 8.10:
    • apache2.2-common 2.2.9-7ubuntu3.5
  • Ubuntu 9.04:
    • apache2.2-common 2.2.11-2ubuntu2.5
  • Ubuntu 9.10:
    • apache2.2-common 2.2.12-1ubuntu2.1

En general la actualización del sistema es suficiente para solucionar este problema.

Distribuir contenido 
 

Más Vistas

Views today
Tutoriales para 10.04 4
Tutoriales para 8.04 4
Ubuntu How To's 4
Curriculum Vitae 4
Servidor LAMP 2
more
Distribuir contenido