Bulletin d'alerte Debian

DSA-532-2 libapache-mod-ssl -- Plusieurs vulnérabilités

Date du rapport:

27 juillet 2004

Paquets concernés:

libapache-mod-ssl

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans le dictionnaire CVE du Mitre : CVE-2004-0488, CVE-2004-0700.

Pour plus d'information:

Deux vulnérabilités ont été découvertes dans libapache-mod-ssl :

CAN-2004-0488
Lorsque mod_ssl est configuré pour faire confiance à l'autorité de certification émettrice, un dépassement de tampon basé sur la pile dans la fonction ssl_util_uuencode_binary de ssl_util.c pour Apache mod_ssl peut permettre à des attaquants distants d'exécuter n'importe quel code à travers un certificat client avec un nom absolu (DN, distinguished name) ayant un sujet long.
CAN-2004-0700
Une vulnérabilité de chaîne de formatage dans la fonction ssl_log dans ssl_engine_log.c de la version 2.8.19 de mod_ssl pour la version 1.3.31 d'Apache peut permettre à des attaquants distants d'exécuter n'importe quels messages via les spécifications de conversion des chaînes de formatage dans certains messages de journalisation pour HTTPS.

Pour la distribution stable (Woody), ces problèmes ont été corrigés dans la version 2.8.9-2.4.

Pour la distribution instable (Sid), CAN-2004-0488 a été corrigé dans la version 2.8.18, et CAN-2004-0700 sera bientôt corrigé.

Nous vous recommandons de mettre à jour votre paquet libapache-mod-ssl.

Corrigé dans:

Debian GNU/Linux 3.0 (woody)

Source :: http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4.dsc; http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4.diff.gz; http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9.orig.tar.gz
Composant indépendant de l'architecture :: http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl-doc_2.8.9-2.4_all.deb
ARM:: http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.

Les sommes MD5 des fichiers indiqués sont disponibles dans la nouvelle annonce de sécurité.