[SECURITY-L] Liberada correcao para bug de seguranca no servidor Apache

Daniela Regina Barbetti Silva daniela em ccuec.unicamp.br
Ter Ago 20 08:59:26 -03 2002 

----- Forwarded message from caio_sm <caio_sm em ibahia.com> -----

From: "caio_sm" <caio_sm em ibahia.com>
Subject: Liberada correção para bug de segurança no servidor Apache 
To: daniela em ccuec.unicamp.br
Date: Mon, 19 Aug 2002 19:15:48 GMT


Liberada correção para bug de segurança no servidor Apache 

Segunda-feira, 19 de Agosto de 2002 - 15h11 

IDG Now!

Uma falha descoberta na mais recente versão do servidor Web Apache Web, que
permitia que hackers tomasse controle do sistema, foi corrigida com uma
atualização liberada na última sexta-feira (16/08). 
A PivX Solutions, consultora na área de segurança de redes, divulgou uma
vulnerabilidade logo depois que uma atualização para o Apache Version 2.
foi liberada. A brecha permitia que um invasor tivesse acesso remoto a
todos os arquivos do Apache 2.0, executasse qualquer código malicioso e
mesmo desativasse o sistema, segundo Geoff Shively, especialista da PivX
Solutions. 

"Esse é o mesmo tipo de vulnerabilidade que abriu espaço para a ação do
Code Red, do Code Blue e do Nimda", afirmou Shively. "Se alguém quisesse
criar um vírus, bastaria usar a mesma rotina." 

A PivX Solutions divulgou uma ação para contornar o problema. Além disso, a
Apache Software Foundation liberou uma nova versão que fechava a brecha.
Ambas estão disponíveis no site da Apache ->

http://www.apache.org/dist/httpd/

A falha afeta todas as versões para Windows, OS/2 e NetWare, segundo a
PivX. A Apache Software Foundation acrescentou que o problema atinge as
instalações padrão do servidor Web. Unix e outras plataformas variantes
parecem não ser afetadas, de acordo com a Apache. 

A brecha é considerada de alto risco, portanto os usuários devem instalar
imediatamente a versão 2.0.40 do Apache ou realizar a ação para contornar o
problema. 

A PivX descobriu o bug em 3 de agosto e quarto dias depois começou a
trabalhar com a Apache Software Foundation na correção. A companhia também
identificou uma segunda vulnerabilidade no Apache 2.0 na sexta-feira
(16/08), embora essa apresentasse menor risco. A segunda brecha pode ser
usada para obter informações sobre um servidor Apache específico. A
atualização 2.0.40 também corrige a brecha menos perigosa, afirma a Apache.

[ Matt Berger, IDG News Service
Com tradução de PC World ]



TEXTO RETIRADO DO SITE:


http://idgnow.terra.com.br/idgnow/corporate/2002/08/0025


Caio Souza Mendes

----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L