GLSA 200410-21: Apache 2, mod_ssl: Bypass of SSLCipherSuite directive

http://security.gentoo.org/

Опасность:	низкая
Заголовок:	Apache 2, mod_ssl: Bypass of SSLCipherSuite directive
Дата:	21.10.2004
Ошибки:	#66807
ID:	200410-21

Сводка

In certain configurations, it can be possible to bypass restrictions set by the "SSLCipherSuite" directive of mod_ssl.

Назначение

The Apache HTTP server is one of the most popular web servers on the internet. mod_ssl provides SSL v2/v3 and TLS v1 support for Apache 1.3 and is also included in Apache 2.

Уязвимые пакеты

Пакет	Уязвимый	Нетронутый	Архитектура(ы)
www-servers/apache	< 2.0.52	>= 2.0.52	All supported architectures
net-www/mod_ssl	< 2.8.20	>= 2.8.20	All supported architectures

Описание

A flaw has been found in mod_ssl where the "SSLCipherSuite" directive could be bypassed in certain configurations if it is used in a directory or location context to restrict the set of allowed cipher suites.

Воздействие

A remote attacker could gain access to a location using any cipher suite allowed by the server/virtual host configuration, disregarding the restrictions by "SSLCipherSuite" for that location.

Обход

There is no known workaround at this time.

Решение

All Apache 2 users should upgrade to the latest version:

    # emerge sync

    # emerge -pv ">=www-servers/apache-2.0.52"
    # emerge ">=www-servers/apache-2.0.52"

All mod_ssl users should upgrade to the latest version:


    # emerge sync

    # emerge -pv ">=net-www/mod_ssl-2.8.20"
    # emerge ">=net-www/mod_ssl-2.8.20"

Ссылки

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-200410-21.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.