CERT-FI haavoittuvuustiedote 046/2010

8.3.2010

Haavoittuvuuksia Apache Web-palvelinohjelmistossa

Kohde:	- palvelimet ja palvelinsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - tietojen muokkaaminen - suojauksen ohittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Apache Web-palvelinohjelmistosta on korjattu haavoittuvuuksia jotka liittyvät mod_proxy_ajp- ja mod_isapi-moduuleihin. Jälkimmäisen moduulin haavoittuvuuteen on olemassa julkinen hyväksikäyttömenetelmä joka mahdollistaa komentojen mielivaltaisen suorittamisen Windows-pohjaisissa käyttöjärjestelmissä.
Yllä mainittujen korjausten lisäksi mod_ssl-moduuliin on tehty muutoksia jotka korjaavat haavoittuvuuksia SSL/TLS-toteutuksessa. Korjaus vaatii että järjestelmässä on käytössä OpenSSL-kirjasto 0.9.6m tai myöhempi versio.

HAAVOITTUVAT OHJELMISTOT:

• Apache 2.2.14 ja sitä aikaisemmat versiot

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva ohjelmisto valmistajan ohjeen mukaisesti.

LISÄTIETOA:

• http://www.apache.org/dist/httpd/CHANGES_2.2.15
• http://www.senseofsecurity.com.au/advisories/SOS-10-002
• CVE-2009-3555, CVE-2010-0408, CVE-2010-0425, CVE-2010-0434
  

PÄIVITYSHISTORIA:

8.3.2010, kello 21.29: Julkaistu

Sivua päivitetty 08.03.2010

Tulostusversio