Sauter le menu

• À propos de Debian
• Actualités
• Obtenir Debian
• Assistance
• Le coin du développeur
• Plan du site
• Recherche

Bulletin d'alerte Debian

DSA-067-1 apache -- Exploitation à distance

Date du rapport:

28 juillet 2001

Paquets concernés:

apache, apache-ssl

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans la base de données de suivi des bogues (chez SecurityFocus) : Identificateur BugTraq 3009.
Dans le dictionnaire CVE du Mitre : CVE-2001-0925.

Pour plus d'information:

Nous avons reçu des rapports comme quoi le paquet apache, inclus dans la distribution stable de Debian, est vulnérable à la faille de sécurité par listage d'un répertoire dont le chemin est artificiellement long comme décrit par SecurityFocus.

Cette faille de sécurité était annoncée sur bugtraq par Dan Harkless.

Selon SecurityFocus :

Un problème dans le paquet pouvait permettre l'indexation de répertoire et la découverte de chemin. Dans la configuration par défaut, Apache active mod_dir, mod_autoindex et mod_negotiation. Cependant, en plaçant une requête conçue à dessein pour le serveur Apache consistant en un long chemin créé artificiellement en utilisant beaucoup slashs (/), ceci peut causer ces modules à mal se comporter en évitant la page d'erreur et en fournissant un listing du contenu du répertoire.

Cette faille de sécurité permet à un utilisateur distant malveillant de lancer une attaque par collecte d'information, qui pouvait potentiellement résulter à la compromission du système. De plus, cette faille de sécurité affecte toute sortie de Apache antérieure à 1.3.19.

Ce problème a été corrigé dans apache-ssl 1.3.9-13.3 et apache 1.3.9-14. Nous vous recommandons de mettre à jour vos paquets immédiatement.

Attention : Le résultat MD5Sum des fichiers .dsc et .diff.gz ne correspondent pas étant donné qu'ils ont été copiés depuis la sortie stable après coups, le contenu du fichier .diff.gz est le même.

Corrigé dans:

Debian GNU/Linux 2.2 (potato)

apache

Source :

http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9-14.diff.gz

http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9-14.dsc

http://security.debian.org/dists/stable/updates/main/source/apache_1.3.9.orig.tar.gz

Alpha:

http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-common_1.3.9-14_alpha.deb

http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-dev_1.3.9-14_alpha.deb

http://security.debian.org/dists/stable/updates/main/binary-alpha/apache_1.3.9-14_alpha.deb

ARM:

http://security.debian.org/dists/stable/updates/main/binary-arm/apache-common_1.3.9-14_arm.deb

http://security.debian.org/dists/stable/updates/main/binary-arm/apache-dev_1.3.9-14_arm.deb

http://security.debian.org/dists/stable/updates/main/binary-arm/apache_1.3.9-14_arm.deb

Intel IA-32:

http://security.debian.org/dists/stable/updates/main/binary-i386/apache-common_1.3.9-14_i386.deb

http://security.debian.org/dists/stable/updates/main/binary-i386/apache-dev_1.3.9-14_i386.deb

http://security.debian.org/dists/stable/updates/main/binary-i386/apache_1.3.9-14_i386.deb

Motorola 680x0:

http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-common_1.3.9-14_m68k.deb

http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-dev_1.3.9-14_m68k.deb

http://security.debian.org/dists/stable/updates/main/binary-m68k/apache_1.3.9-14_m68k.deb

PowerPC:

http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-common_1.3.9-14_powerpc.deb

http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-dev_1.3.9-14_powerpc.deb

http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache_1.3.9-14_powerpc.deb

Sun Sparc:

http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-common_1.3.9-14_sparc.deb

http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-dev_1.3.9-14_sparc.deb

http://security.debian.org/dists/stable/updates/main/binary-sparc/apache_1.3.9-14_sparc.deb

Composant indépendant de l'architecture :

http://security.debian.org/dists/stable/updates/main/binary-all/apache-doc_1.3.9-14_all.deb

apache-ssl

Source :

http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-3.diff.gz

http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-3.dsc

http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13.orig.tar.gz

Alpha:

http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-ssl_1.3.9.13-3_alpha.deb

ARM:

http://security.debian.org/dists/stable/updates/main/binary-arm/apache-ssl_1.3.9.13-3_arm.deb

Intel IA-32:

http://security.debian.org/dists/stable/updates/main/binary-i386/apache-ssl_1.3.9.13-3_i386.deb

Motorola 680x0:

http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-ssl_1.3.9.13-3_m68k.deb

PowerPC:

http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-ssl_1.3.9.13-3_powerpc.deb

Sun Sparc:

http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-ssl_1.3.9.13-3_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.

Cette page est aussi disponible dans les langues suivantes :

dansk Deutsch English español 日本語 (Nihongo) suomi svenska

Comment configurer la langue par défaut du document