Bulletin d'alerte Debian

DSA-120-1 mod_ssl -- Débordement de tampon

Date du rapport :
10 mars 2002
Paquets concernés :
libapache-mod-ssl, apache-ssl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2002-0082.
Plus de précisions :

Ed Moyle a récemment découvert un débordement de tampon dans Apache-SSL et mod_ssl. Lorsqu'il est configuré avec le support de cache de session, mod_ssl enregistre une série de variables de session pour une utilisation ultérieure. Ces variables sont enregistrées dans un tampon de taille finie sans vérification correcte des limites.

Pour exploiter le débordement, le serveur doit être configuré pour réclamer des certificats au client et l'assaillant doit obtenir un certificat client soigneusement fabriqué de manière à être signé par une autorité de certification crue par le serveur. Si ces conditions sont remplies, il devient alors possible pour un assaillant d'exécuter du code arbitraire sur le serveur.

Ce problème a été résolu dans les versions 1.3.9.13-4 d'Apache-SSL et 2.4.10-1.3.9-1potato1 de libapache-mod-ssl pour la distribution Debian stable, ainsi que dans les versions 1.3.23.1+1.47-1 d'Apache-SSL et 2.8.7-1 de libapache-mod-ssl pour les distributions Debian testing et unstable.

Nous vous recommandons de mettre à jour vos paquets Apache-SSL et mod_ssl packages.

Corrigé dans :

Debian GNU/Linux 2.2 (potato)

Source :
http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-4.diff.gz
http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13-4.dsc
http://security.debian.org/dists/stable/updates/main/source/apache-ssl_1.3.9.13.orig.tar.gz
http://security.debian.org/dists/stable/updates/main/source/libapache-mod-ssl_2.4.10-1.3.9-1potato1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/libapache-mod-ssl_2.4.10-1.3.9-1potato1.dsc
http://security.debian.org/dists/stable/updates/main/source/libapache-mod-ssl_2.4.10-1.3.9.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/dists/stable/updates/main/binary-all/libapache-mod-ssl-doc_2.4.10-1.3.9-1potato1_all.deb
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/apache-ssl_1.3.9.13-4_alpha.deb
http://security.debian.org/dists/stable/updates/main/binary-alpha/libapache-mod-ssl_2.4.10-1.3.9-1potato1_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/apache-ssl_1.3.9.13-4_arm.deb
http://security.debian.org/dists/stable/updates/main/binary-arm/libapache-mod-ssl_2.4.10-1.3.9-1potato1_arm.deb
Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/apache-ssl_1.3.9.13-4_i386.deb
http://security.debian.org/dists/stable/updates/main/binary-i386/libapache-mod-ssl_2.4.10-1.3.9-1potato1_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/apache-ssl_1.3.9.13-4_m68k.deb
http://security.debian.org/dists/stable/updates/main/binary-m68k/libapache-mod-ssl_2.4.10-1.3.9-1potato1_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/apache-ssl_1.3.9.13-4_powerpc.deb
http://security.debian.org/dists/stable/updates/main/binary-powerpc/libapache-mod-ssl_2.4.10-1.3.9-1potato1_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/apache-ssl_1.3.9.13-4_sparc.deb
http://security.debian.org/dists/stable/updates/main/binary-sparc/libapache-mod-ssl_2.4.10-1.3.9-1potato1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.