Bulletin d'alerte Debian

DLA-222-1 commons-httpclient -- Mise à jour de sécurité pour LTS

Date du rapport :
19 mai 2015
Paquets concernés :
commons-httpclient
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-5783, CVE-2012-6153, CVE-2014-3577.
Plus de précisions :
  • CVE-2012-5783 et CVE-2012-6153

    Apache Commons HttpClient 3.1 ne vérifiait pas que le nom d'hôte du serveur correspondait à un nom de domaine dans les champs Common Name (CN) ou subjectAltName du sujet du certificat X.509. Cela permet à des attaquants de « homme du milieu » d'usurper l'identité de serveurs SSL à l'aide d'un certificat valable arbitraire. Merci à Alberto Fernandez Martinez pour le correctif.

  • CVE-2014-3577

    Il a été découvert que le correctif pour CVE-2012-6153 était incomplet : le code ajouté pour vérifier que le nom d'hôte du serveur correspond au nom de domaine dans le champ Common Name (CN) du sujet dans les certificats X.509 était fautif. Un attaquant de type « homme du milieu » pourrait utiliser ce défaut pour usurper l'identité d'un serveur SSL avec un certificat X.509 contrefait. Le correctif pour CVE-2012-6153 visait à corriger la correction incomplète pour CVE-2012-5783. Ce problème est maintenant complètement résolu en appliquant ce correctif et celui pour les précédents CVE.

Cet envoi a été préparé par Markus Koschany.