Добрый день.Установлена FreeBsd 6.3, на ней вертится apache-2.2.6_2 c поддержкой SSL (openssl-0.9.8g)все ставил из портов.
Для проверки запустил XSpider который нашел уязимости:1)Удаленное переполнение буфера обнаружено в Apache mod_ssl. Удаленный пользователь может выполнить произвольный код на целевой системе. Переполнение буфера обнаружено в параметре Subject-DN в клиентском сертификате, который передается к функции ssl_util_uuencode_binary() в 'ssl_util.c'.
Уязвимые версии:
mod_ssl меньше 2.8.18
2)Переполнение буфера в rewrite_command для mod_ssl позволяет атакующему, который имеет привилегии на запись в каталог .htaccess выполнить произвольный код на уязвимой системе. Файл .htaccess размером 10000 байт или больше, помещенный в переменную DATE_LOCALE приведет к переполнению буфера процесса, обрабатывающего запрос.Уязвимые версии:
mod_ssl mod_ssl ....3)Обнаружено переполнение буфера в mod_ssl web сервера Apache. Удаленный атакующий может выполнить произвольный код на уязвимой системе. Для этого ему необходимо во время инициализации сессии послать серверу специально сформированный сертификат, подписанный доверенным CA.
Уязвимые версии:
Apache-SSL Apache-SSL 1.39
Apache-SSL Apache-SSL 1.40
Apache-SSL Apache-SSL 1.41
Apache-SSL Apache-SSL 1.42
Apache-SSL Apache-SSL 1.44
Apache-SSL Apache-SSL 1.45
Apache-SSL Apache-SSL 1.46
mod_ssl mod_ssl 2.4.10
mod_ssl mod_ssl 2.7.1
mod_ssl mod_ssl 2.8 .0
mod_ssl mod_ssl 2.8.1 -2
mod_ssl mod_ssl 2.8.1
mod_ssl mod_ssl 2.8.2
mod_ssl mod_ssl 2.8.3
mod_ssl mod_ssl 2.8.4
mod_ssl mod_ssl 2.8.5 -1
mod_ssl mod_ssl 2.8.5
mod_ssl mod_ssl 2.8.6Как наименьшей кровью мне устранить это?
Правильно я сделаю если снесу апач и ссл, обновлю порты и пановой установлю из портов?
Или это можно как-то пропатчить?Делаю это первый раз, пожалуйста подскажите более подробно.
Заранее благодарен.
Сносить ничего не надо!Обновляем порты, любым из удобных способов.
Обновляем программное обеспечение, например используя portupgrade.portupgrade -arR