Kort vurdering:
Kritisk: Moderat kritisk
Betydning: Rettighedseskalering
DoS
Hvor: Fra Internet
SA ID: SA17036
Berørt software:
IBM HTTP Server 2.x
IBM Websphere Application Server 4.x
IBM WebSphere Application Server 5.x
IBM WebSphere Application Server 6.x
Beskrivelse:
IBM har anerkendt to sårbarheder i IBM HTTP Server, som kan udnyttes ondsindede personer til at forårsage et DoS (Denial of Service), eller af ondsindede, lokale brugere til at opnå eskalerede rettigheder ved hjælp af en specielt udformet ".htaccess" fil.
Yderligere information:
SA16688
SA16559
Sårbarhederne er rapporteret i version 2.0.42.2, 2.0.47 og 2.0.47.1.
NOTE: IBM HTTP Server 2 er bundlet med IBM WebSphere Application Server.
Et memory leak i worker.c når en "accept()" fejler er også rettet.
Løsning:
-- IBM HTTP Server Version 2.0.42.2, 2.0.47 og 2.0.47.1 --
Installér midlertidigt e-fix.
ftp://ftp.software.ibm.com/software/websphere/ihs/support/fixes/PK13230/
2235690824 5427200 2.0.42.2-PK13230.aix.tar
939210679 19537920 2.0.42.2-PK13230.hpux.tar
854827529 4474880 2.0.42.2-PK13230.linux.tar
3035375644 4904960 2.0.42.2-PK13230.linux390.tar
218954935 6502400 2.0.42.2-PK13230.linuxppc.tar
2142785978 3932767 2.0.42.2-PK13230.nt.zip
3619888137 18137088 2.0.42.2-PK13230.sun.tar
1195706654 5304320 2.0.47.1-PK13230.aix.tar
3981623684 19752960 2.0.47.1-PK13230.hpux.tar
1282754306 4106240 2.0.47.1-PK13230.linux.tar
920133865 4874240 2.0.47.1-PK13230.linux390.tar
844387247 5683200 2.0.47.1-PK13230.linuxppc.tar
3545755713 4019142 2.0.47.1-PK13230.nt.zip
508704124 17763328 2.0.47.1-PK13230.sun.tar
-- IBM HTTP Server inkluderet med WebSphere Application Server 6 --
Installér Fix Pack 3 (kræver Version 6.0.2).
AIX Platforms:
http://www-1.ibm.com/support/docview.wss?rs=0&uid=swg24010719
Solaris Platforms:
http://www-1.ibm.com/support/docview.wss?rs=0&uid=swg24010723
Linux Platforms:
http://www-1.ibm.com/support/docview.wss?rs=0&uid=swg24010722
Windows Platforms:
http://www-1.ibm.com/support/docview.wss?rs=0&uid=swg24010724
Forløb:
17-10-2005. Producenten udgiver midlertidigt fix. Opdaterede beskrivelse og løsning.
19-10-2005: Producenten har offentliggjort download link tik midlertidigt fix. Opdaterede beskrivelse, løsning og original advisory.
31-10-2005: Producenten har udgivet Fix Pack 3 for WebSphere Application Server 6.0.2. Opdaterede løsning og original advisory.
Relaterede Advisories:
WebSphere Application Server administrativ konsol buffer overflow IBM WebSphere Application Server cross-site scripting IBM WebSphere Application Server afsløring af JSP-kode IBM WebSphere Application Server afsløring af JSP-kode IBM HTTP Server Denial of Service sårbarheder IBM HTTP Server to sårbarheder IBM HTTP Server header-håndtering Denial of Service IBM WebSphere Application Server Caching Proxy Denial of Service IBM flere produkter GSKit Denial of Service IBM HTTP Server OpenSSL-sårbarheder
