|
NBSO - NIC BR
Security Office Tradução dos Advisories do CERT/CC, com permissão especial do Software Engineering Institute (SEI). CERT® Advisory CA-2002-17 Vulnerabilidade na manipulação de blocos de dados pelo Servidor Web Apache
Data original de lançamento: 17 de junho de 2002
Um histórico completo das revisões pode ser encontrado ao final deste documento. Sistemas Afetados
ResumoExiste uma vulnerabilidade, que pode ser explorada remotamente, na manipulação de grandes blocos (chunks) de dados por servidores Web com código baseado no Apache. Esta vulnerabilidade está presente em servidores Web Apache nas versões 1.3 a 1.3.24 e versões 2.0 a 2.0.36. O impacto desta vulnerabilidade depende da versão do software e da plataforma de hardware onde o servidor esteja sendo executado. Nota do Tradutor: Conforme explicado na RFC 2616 "Hypertext Transfer Protocol -- HTTP/1.1", a codificação em blocos ("chunked encoding") modifica o corpo de uma mensagem de maneira a transferí-la em uma série de blocos, cada qual com seu indicador de tamanho, seguido de um terminador OPCIONAL contendo campos do cabeçalho da entidade. Isso permite que conteúdos produzidos dinamicamente sejam transferidos juntamente com as informações necessárias para que o recipiente constate que recebeu a mensagem completa. I. DescriçãoO Apache é um servidor Web popular, que possui suporte para dados codificados em blocos de acordo com o padrão HTTP 1.1, descrito na RFC2616. Existe uma vulnerabilidade na manipulação de certas requisições HTTP de dados codificados em blocos, que podem permitir que atacantes remotos executem código arbitrário. A Apache Software Foundation publicou um advisory descrevendo os detalhes desta vulnerabilidade. Este advisory está disponível em sua página: II. ImpactoNas versões do Apache de 1.3 a 1.3.24 inclusive, esta vulnerabilidade pode permitir a execução de código arbitrário por parte de atacantes remotos. Diversas fontes reportaram que esta vulnerabilidade pode ser utilizada por invasores para executar código arbitrário em plataformas Windows. Adicionalmente, a Apache Software Foundation reportou que um ataque similar pode permitir a execução de código arbitrário em sistemas UNIX de 64 bits. Para as versões do Apache de 2.0 a 2.0.36 inclusive, a condição que causa a vulnerabilidade é corretamente detectada e faz com que o processo filho termine sua execução. Dependendo de diversos fatores, incluindo o modelo de threads suportado pelo sistema vulnerável, isto pode levar a um ataque de negação de serviço contra o servidor Apache. III. SoluçãoAplicar uma correção disponibilizada pelo seu fornecedorAplique uma correção disponibilizada pelo seu fornecedor para corrigir esta vulnerabilidade. O CERT/CC foi informado pela Apache Software Foundation que a correção provida no advisory da ISS não corrige completamente esta vulnerabilidade. Mais informações sobre correções específicas de cada fornecedor podem ser encontradas no Apêndice A. deste documento. Como a publicação deste advisory teve de ser inesperadamente adiantada, nem todos os fornecedores afetados puderam se manifestar até o momento de sua publicação. À medida que informações adicionais sejam disponibilizadas pelos fornecedores, este documento será atualizado. Fazer uma atualização para a última versão do softwareA Apache Software Foundation lançou duas novas versões de Apache que corrigem esta vulnerabilidade. Administradores de sistemas podem evitar que esta vulnerabilidade seja explorada fazendo uma atualização do seu Apache para a versão 1.3.25 ou 2.0.39. As novas versões de Apache estarão disponíveis na página da Apache: Apêndice A. - Informações dos FornecedoresEste apêndice contém informações providas pelos próprios fornecedores para inclusão neste documento. À medida que os fornecedores enviarem novas informações ao CERT/CC, este documento será atualizado e as modificações serão registradas no histórico de revisões. Se algum fornecedor em particular não estiver listado abaixo é porque não recebemos seus comentários. Apache Software FoundationNovas versões do servidor Apache estarão disponíveis em: Conectiva LinuxO servidor Apache que é distribuído junto com o Conectiva Linux é vulnerável a este problema. Novos pacotes corrigindo este problema serão anunciados em nossa lista de discussão assim que uma correção oficial estiver disponível. Cray, Inc.A Cray, Inc. não distribui o Apache com nenhum de seus sistemas operacionais. IBM CorporationA IBM disponibiliza o Servidor Apache para usuários de AIX como um pacote de software sob o "AIX-Linux Affinity". Este pacote é incluído no CD "AIX Toolbox for Linux Applications" e pode ser obtido no site da IBM Linux Affinity. A versão do Servidor Apache disponível atualmente é suscetível à vulnerabilidade aqui descrita. Em breve, o Servidor Apache oferecido será atualizado para a versão 1.3.23, incluindo a correção para esta vulnerabilidade; esta atualização estará disponível através da URL: É importante notar que o Servidor Apache, e todos os softwares Linux Affinity, são oferecidos como foram recebidos ("as-is"). A IBM não é dona do código fonte deste software, do mesmo modo que não desenvolveu ou testou completamente este código. A IBM não dá suporte a estes pacotes de software. LotusNós verificamos que o Servidor Web Lotus Domino não é vulnerável a este tipo de problema. Do mesmo modo, nós não distribuímos o código do Apache com nenhum dos produtos Lotus. Microsoft CorporationA Microsoft não distribui o servidor Apache. Network ApplianceOs sistemas NetApp não são vulneráveis a este problema. RedHat Inc.A Red Hat incorpora o Apache versão 1.3 em todas as distribuições de Linux Red Hat e como parte do Stronghold. Entretanto nós não distribuímos Apache para Windows. Nós estamos investigando esta questão e vamos trabalhar para produzir pacotes de correção assim que uma versão oficial da correção para este problema esteja disponível. Quando estas atualizações forem completadas elas estarão disponíveis na URL abaixo. Os usuários do serviço Red Hat Network poderão atualizar seus sistemas utilizando a ferramenta 'up2date'. Unisphere NetworksO Sistema de Desenvolvimento SDX-300 (SSC) da Unisphere Networks utiliza Apache 1.3.24. Nos estaremos liberando em breve a versão 3.0, que utilizará o Apache 1.3.25, assim como estaremos providenciando uma correção para o SCC Versão 2.0.3 em um futuro breve. O CERT/CC agradece Mark Litchfield por ter reportado esta vulnerabilidade para a Apache Software Foundation e Mark Cox por ter reportado esta vulnerabilidade para o CERT/CC. Autor: Cory F. Cohen Tradução: Cristine Hoepers Revisão Técnica: Adriano Mauro Cansian e Antonio Montes Esta versão traduzida do documento pode ser obtida em: http://www.nbso.nic.br/certcc/advisories/CA-2002-17-br.html A versão original, em Inglês, deste documento pode ser obtida em: http://www.cert.org/advisories/CA-2002-17.htmlInformações de Contato do CERT/CC
O pessoal do CERT/CC atende ao hotline no período das 8:00 às 17:00h EST(GMT-5), de segunda a sexta-feira; nos demais períodos eles atendem em esquema emergencial, incluindo finais de semana e feriados dos Estados Unidos. Utilização de criptografiaNós recomendamos fortemente que informações sensíveis sejam criptogradas ao serem enviadas por email. Nossa chave pública PGP está disponível em: Se você preferir utilizar DES, por favor telefone para o hotline do CERT para obter maiores informações. Obtendo informações sobre segurançaAs publicações do CERT e outras informações sobre segurança estão disponíveis em nosso site:
Para inscrever-se na lista de advisories e boletins do CERT, envie um
email para majordomo@cert.org,
incluindo o seguinte no corpo da sua mensagem: subscribe cert-advisory * "CERT" and "CERT Coordination Center" are registered in the U.S. Patent and Trademark Office. Translations of CERT/CC Advisories, (c) 2002 by Carnegie Mellon University, with special permission from the Software Engineering Institute. Accuracy and interpretation of this translation are the responsibility of NBSO. The SEI has not participated in this translation. NBSO shall ensure that all translated materials incorporate the CERT/CC logos, service marks, and/or trademarks, as well as a link to the original English version on the CERT web site (www.cert.org). NBSO shall ensure that all translated materials are translated in their entirety and that the SEI will be notified of which CERT/CC Advisories are being translated. Notifications go to cert@cert.org. NO WARRANTY. THIS CARNEGIE MELLON UNIVERSITY AND SOFTWARE ENGINEERING INSTITUTE MATERIAL IS FURNISHED ON AN "AS IS" BASIS. CARNEGIE MELLON UNIVERSITY MAKES NO WARRANTIES OF ANY KIND, EITHER EXPRESSED OR IMPLIED AS TO ANY MATTER INCLUDING, BUT NOT LIMITED TO, WARRANTY OF FITNESS FOR PURPOSE OR MERCHANTABILITY, EXCLUSIVITY OR RESULTS OBTAINED FROM USE OF THE MATERIAL. CARNEGIE MELLON UNIVERSITY DOES NOT MAKE ANY WARRANTY OF ANY KIND WITH RESPECT TO FREEDOM FROM PATENT, TRADEMARK, OR COPYRIGHT INFRINGEMENT. CMU Indemnification. NBSO hereby agrees to defend, indemnify, and hold harmless CMU, its trustees, officers, employees, and agents from all claims or demands made against them (and any related losses, expenses, or attorney's fees) arising out of, or relating to NBSO's and/or its sublicensees' negligent use or willful misuse of or negligent conduct or willful misconduct regarding CMU in tellectual Property, facilities, or other rights or assistance granted by CMU under this Agreement, including, but not limited to, any claims of product liability, personal injury, death, damage to property, or violation of any laws or regulations. This indemnification will not apply to claims by third parties which allege that CMU Intellectual Property infringes on the intellectual property rights of such third parties, unless such infringement results from NBSO modifying CMU Intellectual Property or combining it with other intellectual property. Disputes. This Agreement shall be governed by the laws of the Commonwealth of Pennsylvania. Any dispute or claim arising out of or relating to this Agreement will be settled by arbitration in Pittsburgh, Pennsylvania in accordance with the rules of the American Arbitration Association and judgment upon award rendered by the arbitrator(s) may be entered in any court having jurisdiction. No Endorsement. The SEI and CMU do not directly or indirectly endorse NBSO work. Translations of CMU/SEI copyrighted material are not official SEI-authorized translations. NBSO agrees to assign and transfer to CMU/SEI all copyrights in the translation of any CMU/SEI document. This permission is granted on a non-exclusive basis for non-commercial purposes. Conditions for use, disclaimers, and sponsorship information Copyright 2002 Carnegie Mellon University.
Histórico de Revisões |
NBSO -- NIC BR Security Office$Date: 2005/06/14 13:03:34 $ |