[SECURITY-L] CERT Advisory CA-2002-17: Vulnerabilidade na manipulacao de blocos de dados pelo Servidor Web Apache
Daniela Regina Barbetti Silva
daniela em ccuec.unicamp.br
Ter Jun 25 11:26:45 -03 2002
Srs. Administradores,
Bom dia !
Na semana passada saiu um bug de seguranca no software Apache.
Orientamos que as maquinas que estejam com as versoes citadas
nesse advisory seja atualizadas o mais rapido possivel.
--
Equipe de Seguranca em Sistemas e Redes
Unicamp - Universidade Estadual de Campinas
mailto:security em unicamp.br
http://www.security.unicamp.br
----- Forwarded message from NIC BR Security Office <nbso em nic.br> -----
From: NIC BR Security Office <nbso em nic.br>
Subject: [S] CERT Advisory CA-2002-17: Vulnerabilidade na manipulaXXo de blocos de dados pelo Servidor Web Apache
To: seguranca em pangeia.com.br
Date: Tue, 18 Jun 2002 17:45:01 -0300
-----BEGIN PGP SIGNED MESSAGE-----
_________________________________________________________________________
NBSO - NIC BR Security Office
CG-I.br - Comitê Gestor da Internet no Brasil
Chave PGP: http://www.nbso.nic.br/pgp/nbso@nic.br.asc
Tradução dos Advisories do CERT/CC, com permissão especial do Software
Engineering Institute (SEI).
_________________________________________________________________________
CERT Advisory CA-2002-17 Vulnerabilidade na manipulação de blocos de
dados pelo Servidor Web Apache
Data original de lançamento: 17 de junho de 2002
Última revisão: --
Origem: CERT/CC
Um histórico completo das revisões pode ser encontrado ao final deste
documento.
Sistemas Afetados
* Servidores Web baseados no código do Apache versões 1.3 a 1.3.24
* Servidores Web baseados no código do Apache versões 2.0 a 2.0.36
Resumo
Existe uma vulnerabilidade, que pode ser explorada remotamente, na
manipulação de grandes blocos (chunks) de dados por servidores Web com
código baseado no Apache. Esta vulnerabilidade está presente em
servidores Web Apache nas versões 1.3 a 1.3.24 e versões 2.0 a 2.0.36.
O impacto desta vulnerabilidade depende da versão do software e da
plataforma de hardware onde o servidor esteja sendo executado.
Nota do Tradutor: Conforme explicado na RFC 2616 "Hypertext Transfer
Protocol -- HTTP/1.1", a codificação em blocos ("chunked encoding")
modifica o corpo de uma mensagem de maneira a transferí-la em uma
série de blocos, cada qual com seu indicador de tamanho, seguido de um
terminador OPCIONAL contendo campos do cabeçalho da entidade. Isso
permite que conteúdos produzidos dinamicamente sejam transferidos
juntamente com as informações necessárias para que o recipiente
constate que recebeu a mensagem completa.
I. Descrição
O Apache é um servidor Web popular, que possui suporte para dados
codificados em blocos de acordo com o padrão HTTP 1.1, descrito na
RFC2616. Existe uma vulnerabilidade na manipulação de certas
requisições HTTP de dados codificados em blocos, que podem permitir
que atacantes remotos executem código arbitrário.
A Apache Software Foundation publicou um advisory descrevendo os
detalhes desta vulnerabilidade. Este advisory está disponível em sua
página:
http://httpd.apache.org/info/security_bulletin_20020617.txt
II. Impacto
Nas versões do Apache de 1.3 a 1.3.24 inclusive, esta vulnerabilidade
pode permitir a execução de código arbitrário por parte de atacantes
remotos. Diversas fontes reportaram que esta vulnerabilidade pode ser
utilizada por invasores para executar código arbitrário em plataformas
Windows. Adicionalmente, a Apache Software Foundation reportou que um
ataque similar pode permitir a execução de código arbitrário em
sistemas UNIX de 64 bits.
Para as versões do Apache de 2.0 a 2.0.36 inclusive, a condição que
causa a vulnerabilidade é corretamente detectada e faz com que o
processo filho termine sua execução. Dependendo de diversos fatores,
incluindo o modelo de threads suportado pelo sistema vulnerável, isto
pode levar a um ataque de negação de serviço contra o servidor Apache.
III. Solução
Aplicar uma correção disponibilizada pelo seu fornecedor
Aplique uma correção disponibilizada pelo seu fornecedor para corrigir
esta vulnerabilidade. O CERT/CC foi informado pela Apache Software
Foundation que a correção provida no advisory da ISS não corrige
completamente esta vulnerabilidade. Mais informações sobre correções
específicas de cada fornecedor podem ser encontradas no Apêndice
A. deste documento. Como a publicação deste advisory teve de ser
inesperadamente adiantada, nem todos os fornecedores afetados puderam
se manifestar até o momento de sua publicação. À medida que
informações adicionais sejam disponibilizadas pelos fornecedores, este
documento será atualizado.
Fazer uma atualização para a última versão do software
A Apache Software Foundation lançou duas novas versões de Apache que
corrigem esta vulnerabilidade. Administradores de sistemas podem
evitar que esta vulnerabilidade seja explorada fazendo uma atualização
do seu Apache para a versão 1.3.25 ou 2.0.39. As novas versões de
Apache estarão disponíveis na página da Apache:
http://httpd.apache.org/
Apêndice A. - Informações dos Fornecedores
Este apêndice contém informações providas pelos próprios fornecedores
para inclusão neste documento. À medida que os fornecedores enviarem
novas informações ao CERT/CC, este documento será atualizado e as
modificações serão registradas no histórico de revisões. Se algum
fornecedor em particular não estiver listado abaixo é porque não
recebemos seus comentários.
Apache Software Foundation
Novas versões do servidor Apache estarão disponíveis em:
http://httpd.apache.org/
Conectiva Linux
O servidor Apache que é distribuído junto com o Conectiva Linux é
vulnerável a este problema. Novos pacotes corrigindo este problema
serão anunciados em nossa lista de discussão assim que uma correção
oficial estiver disponível.
Cray, Inc.
A Cray, Inc. não distribui o Apache com nenhum de seus sistemas
operacionais.
IBM Corporation
A IBM disponibiliza o Servidor Apache para usuários de AIX como um
pacote de software sob o "AIX-Linux Affinity". Este pacote é incluído
no CD "AIX Toolbox for Linux Applications" e pode ser obtido no site
da IBM Linux Affinity. A versão do Servidor Apache disponível
atualmente é suscetível à vulnerabilidade aqui descrita. Em breve, o
Servidor Apache oferecido será atualizado para a versão 1.3.23,
incluindo a correção para esta vulnerabilidade; esta atualização
estará disponível através da URL:
http://www-1.ibm.com/servers/aix/products/aixos/linux/download.html
É importante notar que o Servidor Apache, e todos os softwares Linux
Affinity, são oferecidos como foram recebidos ("as-is"). A IBM não é
dona do código fonte deste software, do mesmo modo que não desenvolveu
ou testou completamente este código. A IBM não dá suporte a estes
pacotes de software.
Lotus
Nós verificamos que o Servidor Web Lotus Domino não é vulnerável a
este tipo de problema. Do mesmo modo, nós não distribuímos o código
do Apache com nenhum dos produtos Lotus.
Microsoft Corporation
A Microsoft não distribui o servidor Apache.
Network Appliance
Os sistemas NetApp não são vulneráveis a este problema.
RedHat Inc.
A Red Hat incorpora o Apache versão 1.3 em todas as distribuições de
Linux Red Hat e como parte do Stronghold. Entretanto nós não
distribuímos Apache para Windows. Nós estamos investigando esta
questão e vamos trabalhar para produzir pacotes de correção assim que
uma versão oficial da correção para este problema esteja disponível.
Quando estas atualizações forem completadas elas estarão disponíveis
na URL abaixo. Os usuários do serviço Red Hat Network poderão
atualizar seus sistemas utilizando a ferramenta 'up2date'.
http://rhn.redhat.com/errata/RHSA-2002-103.html
Unisphere Networks
O Sistema de Desenvolvimento SDX-300 (SSC) da Unisphere Networks
utiliza Apache 1.3.24. Nos estaremos liberando em breve a versão 3.0,
que utilizará o Apache 1.3.25, assim como estaremos providenciando uma
correção para o SCC Versão 2.0.3 em um futuro breve.
_________________________________________________________________
O CERT/CC agradece Mark Litchfield por ter reportado esta
vulnerabilidade para a Apache Software Foundation e Mark Cox por ter
reportado esta vulnerabilidade para o CERT/CC.
_________________________________________________________________
Autor: Cory F. Cohen
______________________________________________________________________
Tradução: Cristine Hoepers
____________________________________________________________________
Revisão Técnica: Adriano Mauro Cansian e Antonio Montes
____________________________________________________________________
Esta versão traduzida do documento pode ser obtida em:
http://www.nbso.nic.br/certcc/advisories/CA-2002-17-br.html
____________________________________________________________________
A versão original, em Inglês, deste documento pode ser obtida em:
http://www.cert.org/advisories/CA-2002-17.html
____________________________________________________________________
Informações de Contato do CERT/CC
Email: cert em cert.org
Telefone: +1 412-268-7090 (Hotline 24 horas)
Fax: +1 412-268-6989
Endereço para correspondência:
CERT Coordination Center
Software Engineering Institute
Carnegie Mellon University
Pittsburgh PA 15213-3890
U.S.A.
O pessoal do CERT/CC atende ao hotline no período das 8:00 às 17:00h
EST(GMT-5), de segunda a sexta-feira; nos demais períodos eles atendem
em esquema emergencial, incluindo finais de semana e feriados dos
Estados Unidos.
Utilização de criptografia
Nós recomendamos fortemente que informações sensíveis sejam
criptogradas ao serem enviadas por email.
Nossa chave pública PGP está disponível em:
http://www.cert.org/CERT_PGP.key
Se voce preferir utilizar DES, por favor telefone para o hotline do
CERT para obter maiores informações.
Obtendo informações sobre segurança
As publicações do CERT e outras informações sobre segurança estão
disponíveis em nosso site:
http://www.cert.org/
Para inscrever-se na lista de advisories e boletins do CERT, envie um
email para majordomo em cert.org, incluindo o seguinte no corpo da sua
mensagem:
subscribe cert-advisory
* "CERT" and "CERT Coordination Center" are registered in the U.S.
Patent and Trademark Office.
______________________________________________________________________
Translations of CERT/CC Advisories, (c) 2002 by Carnegie Mellon
University, with special permission from the Software Engineering
Institute.
Accuracy and interpretation of this translation are the responsibility
of NBSO. The SEI has not participated in this translation.
NBSO shall ensure that all translated materials incorporate the
CERT/CC logos, service marks, and/or trademarks, as well as a link to
the original English version on the CERT web site (www.cert.org).
NBSO shall ensure that all translated materials are translated in
their entirety and that the SEI will be notified of which CERT/CC
Advisories are being translated. Notifications go to cert em cert.org.
NO WARRANTY. THIS CARNEGIE MELLON UNIVERSITY AND SOFTWARE ENGINEERING
INSTITUTE MATERIAL IS FURNISHED ON AN "AS IS" BASIS. CARNEGIE MELLON
UNIVERSITY MAKES NO WARRANTIES OF ANY KIND, EITHER EXPRESSED OR
IMPLIED AS TO ANY MATTER INCLUDING, BUT NOT LIMITED TO, WARRANTY OF
FITNESS FOR PURPOSE OR MERCHANTABILITY, EXCLUSIVITY OR RESULTS
OBTAINED FROM USE OF THE MATERIAL. CARNEGIE MELLON UNIVERSITY DOES
NOT MAKE ANY WARRANTY OF ANY KIND WITH RESPECT TO FREEDOM FROM PATENT,
TRADEMARK, OR COPYRIGHT INFRINGEMENT.
CMU Indemnification. NBSO hereby agrees to defend, indemnify, and hold
harmless CMU, its trustees, officers, employees, and agents from all
claims or demands made against them (and any related losses, expenses,
or attorney's fees) arising out of, or relating to NBSO's and/or its
sublicensees' negligent use or willful misuse of or negligent conduct
or willful misconduct regarding CMU in tellectual Property,
facilities, or other rights or assistance granted by CMU under this
Agreement, including, but not limited to, any claims of product
liability, personal injury, death, damage to property, or violation of
any laws or regulations. This indemnification will not apply to claims
by third parties which allege that CMU Intellectual Property infringes
on the intellectual property rights of such third parties, unless such
infringement results from NBSO modifying CMU Intellectual Property or
combining it with other intellectual property.
Disputes. This Agreement shall be governed by the laws of the
Commonwealth of Pennsylvania. Any dispute or claim arising out of or
relating to this Agreement will be settled by arbitration in
Pittsburgh, Pennsylvania in accordance with the rules of the American
Arbitration Association and judgment upon award rendered by the
arbitrator(s) may be entered in any court having jurisdiction.
No Endorsement. The SEI and CMU do not directly or indirectly endorse
NBSO work.
Translations of CMU/SEI copyrighted material are not official
SEI-authorized translations. NBSO agrees to assign and transfer to
CMU/SEI all copyrights in the translation of any CMU/SEI document.
This permission is granted on a non-exclusive basis for non-commercial
purposes.
_________________________________________________________________
Conditions for use, disclaimers, and sponsorship information
Copyright 2002 Carnegie Mellon University.
Histórico de Revisões
17 de junho de 2002: Lançamento da versão inicial
-----BEGIN PGP SIGNATURE-----
Version: PGPfreeware 5.0i for non-commercial use
Charset: noconv
iQCVAwUBPQ+VT5xE2EupRshlAQGwpQP/dOP0SeVXYgmwlxjk2wI1LAUazQoUkGD7
fFzdBn6UHYwF/gkzelBKqqK4WtPRfrSm9N8aCsMOoaPHT5IH+TejfJ2ZErbikd3z
oZXCHw0DySAdFLSsafQvQBaPQ0j/l0d5T/zxYfN/XB220sbb4d7jaKT7Ivjve6Kn
4MYFZf+UwkA=
=WaSP
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L