CVE-2002-0082
Gravedad CVSS v2.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
15/03/2002
Última modificación:
03/04/2025
Descripción
El código de mod_ssl dbm y shm cache anteriores a 2.8.7-1.3.23 y Apache-SSL anteriores a 1.3.22 1.46 no inicializa adecuadamente la memoria usando la función i2d_SSL_SESSION, lo que permite a atacantes remotos usar un desbordamiento de buffer para ejecutar código arbitrario mediante un certificado de cliente largo firmado por una Autoricad Certificadora (CA) larga, lo que produce una sesión serializada larga.
Impacto
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache-ssl:apache-ssl:1.40:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache-ssl:apache-ssl:1.41:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache-ssl:apache-ssl:1.42:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache-ssl:apache-ssl:1.44:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache-ssl:apache-ssl:1.45:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache-ssl:apache-ssl:1.46:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mod_ssl:mod_ssl:2.7.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mod_ssl:mod_ssl:2.8:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mod_ssl:mod_ssl:2.8.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mod_ssl:mod_ssl:2.8.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mod_ssl:mod_ssl:2.8.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mod_ssl:mod_ssl:2.8.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mod_ssl:mod_ssl:2.8.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mod_ssl:mod_ssl:2.8.6:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000465
- http://ftp.support.compaq.com/patches/.new/html/SSRT0817.shtml
- http://marc.info/?l=bugtraq&m=101518491916936&w=2
- http://marc.info/?l=bugtraq&m=101528358424306&w=2
- http://online.securityfocus.com/archive/1/258646
- http://packetstormsecurity.com/files/153567/Apache-mod_ssl-OpenSSL-Remote-Buffer-Overflow.html
- http://www.apacheweek.com/issues/02-03-01#security
- http://www.calderasystems.com/support/security/advisories/CSSA-2002-011.0.txt
- http://www.debian.org/security/2002/dsa-120
- http://www.iss.net/security_center/static/8308.php
- http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-020.php
- http://www.linuxsecurity.com/advisories/other_advisory-1923.html
- http://www.redhat.com/support/errata/RHSA-2002-041.html
- http://www.redhat.com/support/errata/RHSA-2002-042.html
- http://www.redhat.com/support/errata/RHSA-2002-045.html
- http://www.securityfocus.com/advisories/3965
- http://www.securityfocus.com/advisories/4008
- http://www.securityfocus.com/bid/4189
- http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000465
- http://ftp.support.compaq.com/patches/.new/html/SSRT0817.shtml
- http://marc.info/?l=bugtraq&m=101518491916936&w=2
- http://marc.info/?l=bugtraq&m=101528358424306&w=2
- http://online.securityfocus.com/archive/1/258646
- http://packetstormsecurity.com/files/153567/Apache-mod_ssl-OpenSSL-Remote-Buffer-Overflow.html
- http://www.apacheweek.com/issues/02-03-01#security
- http://www.calderasystems.com/support/security/advisories/CSSA-2002-011.0.txt
- http://www.debian.org/security/2002/dsa-120
- http://www.iss.net/security_center/static/8308.php
- http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-020.php
- http://www.linuxsecurity.com/advisories/other_advisory-1923.html
- http://www.redhat.com/support/errata/RHSA-2002-041.html
- http://www.redhat.com/support/errata/RHSA-2002-042.html
- http://www.redhat.com/support/errata/RHSA-2002-045.html
- http://www.securityfocus.com/advisories/3965
- http://www.securityfocus.com/advisories/4008
- http://www.securityfocus.com/bid/4189