-------- Original-Nachricht --------
Betreff: [CB-K04/0525][WIN][UNIX] Denial-of-Service-Schwachstelle in Apache-Webserver
Datum: Tue, 29 Jun 2004 09:14:33 +0200 (CEST)
Von: CERT-Bund <info@cert-bund.de>
Antwort an:
wid-kurzinfo@cert-bund.deAn:
kurzinfo-pgp@cert-bund.de-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
######################################################################
CERT-Bund -- Warn- und Informationsdienst
######################################################################
KURZINFORMATION ZU SCHWACHSTELLEN UND SICHERHEITSLUECKEN
ID: CB-K04/0525
Titel: Denial-of-Service-Schwachstelle in Apache-Webserver
Datum: 29.06.2004
Software: Apache Webserver
Version: 2.0.49, eventuell fruehere Versionen der Reihe 2.x
Plattform: alle unterstuetzten Plattformen
Auswirkung: Denial-of-Service
Remoteangriff: Ja
Risiko: gering
Bezug: <http://www.guninski.com/httpd1.html>
######################################################################
In der Routine zur Verarbeitung von MIME-Headern im Apache-Webserver
existiert eine Sicherheitsluecke, welche von einem entfernten
Angreifer zu einer Denial-of-Service-Attacke ausgenutzt werden kann.
Auf bestimmten 64-Bit-Systemen kann theoretisch zusaetzlich ein
Integer-Ueberlauf ausgeloest werden, der wiederum einen
Denial-of-Service verursacht.
Mit freundlichen Gruessen
das Team CERT-Bund
=================================================================
BSI - Bundesamt fuer Sicherheit in der Informationstechnik
Referat I 2.1 CERT-Bund
Telefon +49-228-9582-110 / FAX +49-228-9582-427
<mailto:certbund@bsi.bund.de> / <http://www.bsi.bund.de>
=================================================================
=======================================================================
Hinweise zum Abmeldeverfahren dieser Mailingliste gibt es auf den
Seiten des CERT-Bund <http://www.bsi.de/certbund/infodienst/>
Die Authentizitaet dieser Nachricht kann anhand der digitalen Signatur
ueberprueft werden. Die hierfuer zum Einsatz kommenden oeffentlichen
Schluessel sowie die Verfahren sind auf den Seiten des CERT-Bund
<http://www.bsi.de/certbund/digsig/> aufgefuehrt und erlaeutert.
HINWEIS:
Die Inhalte dieser Meldung repraesentieren den Kenntnisstand des BSI
zum Zeitpunkt der Versendung. Eine Haftung fuer eventuelle Schaeden
oder Konsequenzen, die durch die direkte oder indirekte Nutzung der
Inhalte entstehen, wird ausgeschlossen.
Diese Meldung kann unter Einhaltung des Urheberrechts im vollstaendigen
Wortlaut, ohne Aenderungen und mit BSI-Copyright-Informationen kopiert
und fuer den persoenlichen und privaten Gebrauch weitergeleitet werden.
Eine kommerzielle Nutzung ist ausdruecklich untersagt.
=======================================================================
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)
iQEVAwUBQOETNnHeVh32gfHqAQKaxggAjE4zBbOTNguBAC58Xu00kQPhceUk8Xtk
vbZgzB23TNr5vH/iNDFaa4gccMGW6RBscVQoWu7LOwqkzJA+hX68a7kCzoLUhg/W
1I0rdG5Oe6iTXNV9l+Vq4a5ifIKYGC5xbphmy1BkU6dxXNv7aTOmvtyZSbN2/VOk
UAYPsYbMUS/JG8WBGOvKtqSWVb0y881K/ixZVlP6vkkAiH2/zqgwIzPSJEbp8zkc
QYaJgyqJ+gt2IwQCYNu4da+lEA32V1JM52pa8DMhokv+qqRjacTUCnMDDbee9UAn
EeVk5iw8/g6Mm+UxPCNWWJ2NICC6s19rwFKqARmSIrti1eGTqxuZYg==
=TBFi
-----END PGP SIGNATURE-----