Neue Apache-Version beseitigt fünf Schwachstellen (2.0.51)

society

society

Registered User
Neue Apache-Version beseitigt fünf Schwachstellen
Die Entwickler des Open-Source-Webservers Apache haben Version 2.0.51 zum Download bereitgestellt, in der unter anderem fünf Schwachstellen beseitigt sind. Die Version bringt keine Funktions-Verbesserungen oder -Erweiterungen mit sich, sondern dient nur dem Bug-Fixing.

Unter anderem sind damit auch zwei bekannte Fehler im Modul mod_ssl und ein Bug im Modul und mod_dav behoben, mit denen Angreifer den Server zum Stillstand bringen konnten.

Auch zwei bislang unbekannte Fehler merzt das Update aus: Bestimmte IP-Anfragen können die IPv6-Parsing-Routine veranlassen, negative Parameter an die memcpy-Funktion zu übergeben. In der Folge stürzt zumindest der jeweils betroffene httpd-Prpzess ab. Hnweisen zufolge soll der Fehler zumindest unter BSD-Systemen das Einschleusen und Ausführen von Code ermöglichen. Der letzte Fehler betrifft mögliche Buffer Overflows beim Expandieren von Umgebungsvariablen aus Konfigurationsdateien wie .htaccess und httpd.conf, mit der ein Nutzer mit gültigem Konto lokal seine Rechte erweitern kann.

[Quelle Heise.de]
 
Einige :) musst halt nur auseinander Wrickeln da es in einen Spec File zusammen gebastelt wird

Denke an das suEXEC patchen fürs confixx!
Eventl hat jemand anderst hier bereits schon eine passendes Configure für dich

Code: 
function configure {
	CFLAGS="$RPM_OPT_FLAGS -fPIC -Wall -fno-strict-aliasing %{?lfs_flags:%lfs_flags}" \
	./configure \
		--enable-maintainer-mode \
		--enable-layout=SuSE81%(test "%_lib" = lib64 && echo -n _64) \
		--with-program-name=httpd%{vers}$mpm_suffix \
		--with-mpm=$mpm \
		--with-perl=`which perl` \
%if "$mpm" == "leader"
%ifarch %ix86
%ifnarch i386 i486
		--enable-nonportable-atomics=yes \
%endif
%endif
%endif
		\
		--enable-mods-shared=all \
		--enable-ssl=shared \
		\
		--disable-isapi \
		--enable-deflate \
		--enable-echo \
		--enable-ext-filter \
		--enable-charset-lite \
		--enable-file-cache \
		--enable-logio \
		--enable-case_filter \
		--enable-case_filter_in \
		\
		--with-ldap \
		--enable-ldap \
		--enable-auth_ldap \
		\
		--enable-proxy \
		--enable-proxy-connect \
		--enable-proxy-ftp \
		--enable-proxy-http \
		--enable-cache \
		--enable-disk-cache \
		--enable-mem-cache \
		\
		--enable-suexec \
		--with-suexec-bin=%{_sbindir}/suexec%{vers} \
		--with-suexec-caller=wwwrun \
		--with-suexec-docroot=%{htdocsdir} \
		--with-suexec-logfile=%{logfiledir}/suexec.log \
		--with-suexec-userdir=%{userdir} \
		--with-suexec-uidmin=635 \
		--with-suexec-gidmin=100 \
		--with-suexec-safepath="/usr/local/bin:/usr/bin:/bin" 
}
 
Erster Patch für Apache 2.0.51

Ich will auch mal was beisteuern, nicht nur mitlesen...
Es gibt den 1. Patch für die Version 2.0.51. Siehe Heise-News

Ich hab auch rpm's gebastelt, funktionieren zu Hause (SuSE 9.0) und auch auf vServer (S4Y). Ich habe aber nur "prefork-mpm" gemacht, spart Zeit beim Upload... Könnt ihr runterladen unter: www.net-bbg.de
Allerdings gab es bei mir ein kleines "Problem": bei der Installation wird das Fehlen von libdb-4.2.so bemängelt. Komischerweise trat das bei den gleichen! rpm's ohne den Patch nicht auf. Kann es vielleicht jemand erklären? An den paar Zeilen Code kann es doch wohl nicht liegen, oder? Wie dem auch sei, das entsprechende rpm gibt es unter der gleichen Adresse.

MfG
Micha
 
Last edited by a moderator:
Hallo Micha!
Können wir die hier auch anbieten? Dann hätten wir sie 'alle beisammen'.

mfG
Thorsten
 
VORSICHT!!! NICHT DIE RPM´s VON MICHA NUTZEN

Ich habe gerade mal in sein SPEC file geschaut leider Fehlen bei ihm die üblichen anderen Patches, deshalb habe ich meine RPMs nochmal bauen lassen mit dem neuen Patch. Habe auch das Verzeichnis Unbenannt - Sicherheitshalber.
Fürs nächste Mal, wenn Patch Files nicht gehen musst du sie anpassen *G* die sind nicht umsonst drin.
Also die richtigen RPMs schätze ich habe ich in 30 mins fertig.
 
Last edited by a moderator:
War ja noch am Uploaden :)
Nun sind alle Oben! Viel Spaß

Noch was es wird wieder Automatisch die SSL Template eingefügt -> Einfach die Zeile:
Include /etc/apache2/vhosts.d/vhost-ssl.template

Auskommentieren in der httpd.conf
 
Note: Die RPMs von society machen mir noch Probleme (es fehlen Pakete, die ich nicht habe). Mein Server läuft nach einem Backup/Restore wieder auf 2.0.50 von mbroemme.
 
Welche Pakte fehlen dir? Habe es bei andere vServer getestet die ich auch betreue dort funzt es einwandfrei....

Hast du mit:

Code: 
/etc/init.d/apache stop
rpm -Uvh apache2-2.0.51-2.forintergenia.i586.rpm apache2-2.0.51-2.forintergenia.src.rpm apache2-devel-2.0.51-2.forintergenia.i586.rpm apache2-doc-2.0.51-2.forintergenia.i586.rpm apache2-example-pages-2.0.51-2.forintergenia.i586.rpm apache2-leader-2.0.51-2.forintergenia.i586.rpm apache2-metuxmpm-2.0.51-2.forintergenia.i586.rpm apache2-prefork-2.0.51-2.forintergenia.i586.rpm apache2-worker-2.0.51-2.forintergenia.i586.rpm libapr0-2.0.51-2.forintergenia.i586.rpm
/etc/init.d/apache start

installiert? War ja vorhin noch beim Uploaden eventl. hast du gerade zu der Zeit gedownloaded. Am besten Teste es nochmal und berichte
 
Last edited by a moderator:
society said:
leider Fehlen bei ihm die üblichen anderen Patches
Click to expand...
Welche üblichen anderen Patches sind denn das?

Z.B. ist der Patch von cache_util.c bereits in 2.0.51 enthalten. Dafür sind ja auch Updates da, um sicherheitsrelevante Patches mit zu integrieren.

Den suExec-Patch braucht man übrigens nur, wenn man CGI-Skripte auch ausserhalb des Haupt-CGI-Verzeichnisses ausführen möchte. Hierdurch werden allerdings auch einige sicherheitsrelevante Prüfungen abgeschaltet.
Wer das also nicht braucht, sollte den Patch auch nicht nutzen.

tim
 
Last edited by a moderator:
Ja, da warst du wohl noch mit dem Uploaden der RPMs nicht fertig. Jetzt hat alles reibungslos funktioniert.

Thanks for your effort! :)
 
You must log in or register to reply here.
Back
Top