Bulletin d'alerte Debian

DLA-1507-1 libapache2-mod-perl2 -- Mise à jour de sécurité pour LTS

Date du rapport :
18 septembre 2018
Paquets concernés :
libapache2-mod-perl2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 644169.
Dans le dictionnaire CVE du Mitre : CVE-2011-2767.
Plus de précisions :

Jan Ingvoldstad a découvert que libapache2-mod-perl2 permet à des attaquants d’exécuter du code Perl arbitraire en le plaçant dans un fichier .htaccess possédé par l’utilisateur, car (contrairement à la documentation) il n’y a pas d’option de configuration, pour un contrôle par l’administrateur du traitement de requêtes HTTP, qui permette du code Perl sans permettre aussi aux utilisateurs sans droits d’exécuter du code Perl dans le contexte du compte utilisateur qui exécute les processus de serveur HTTP Apache.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 2.0.9~1624218-2+deb8u3.

Nous vous recommandons de mettre à jour vos paquets libapache2-mod-perl2.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.