Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Jobba på CERT-SE? Nu söker vi en förvaltningsledare IT inom cybersäkerhet med sista ansökningsdag 17 augusti, samt en administrativ stjärna med it-säkerhetskunskap till vår desk med sista ansökningsdag 23 augusti.

Uppdaterad | Publicerad - Sårbarhet

SR04-122 SA04-002 - Buffertöverflödningssårbarhet i Apache2

Publicerad: 040915

Problembeskrivning:
CVE-referens: CAN-2004-0747
Ulf Härnhammar på Sitic har upptäckt en sårbarhet i hur Apache expanderar ${ENVVAR}-konstruktioner i .htaccess och httpd.conf filer. I installationer som är typiska för ISP:er har ofta användare tillåtelse att konfigurera sin egna public_html kataloger med .htaccess files, vilket innebär en risk för otillåten höjning av de egna användarprivilegierna, s.k. privilege escalation. Vid en lyckad attack kan godtycklig kod exekveras på det lokala systemet.

Påverkade versioner:
Apache 2.0.50 och ett flertal tidigare 2.0.x versioner.

Uppdatering:
En patch för 2.0.50 finns att hämta på Apache hemsida:
http://www.apache.org/dist/httpd/patches/apply_to_2.0.50/

En lösning på problemet är inkluderad i Apache 2.0.51 som kommer finns tillgänglig på:
http://httpd.apache.org/

Mer information:
http://www.sitic.se/rad_och_rekommendationer/sa.html

Versionshistorik:
040915: Särskilt råd skapat.