Bulletin d'alerte Debian
DSA-181-1 libapache-mod-ssl -- Trou de sécurité sur les éléments dynamiques
- Date du rapport :
- 22 octobre 2002
- Paquets concernés :
- libapache-mod-ssl
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 6029.
Dans le dictionnaire CVE du Mitre : CVE-2002-1157. - Plus de précisions :
-
Joe Orton a découvert un problème de sécurité sur les éléments dynamiques dans mod_ssl, un module d'Apache qui ajoute une cryptographie forte (c'est-à-dire le service HTTPS) au serveur web. Ce module retourne comme réponse le nom du serveur sans échappement dans une requête HTTP sur le port SSL.
Comme les autres bogues de type cross site scripting récents d'Apache, celui-ci n'affecte que les serveurs utilisant une combinaison de « UseCanonicalName off » (ce qui est par défaut dans le paquet Debian d'Apache) et des méta-enregistrements (wildcards) DNS. Ce mélange est peu probable tout de même. Apache 2.0/mod_ssl n'est pas vulnérable vu qu'il ne se préoccupe pas de ce HTML.
Avec ce paramètre activé, lorsqu'Apache aura besoin de construire une URL s'autoréférençant (une URL qui fait appel au serveur dont vient la réponse), il utilisera le ServerName et le Port pour générer le nom « canonique ». Sans ce paramètre, Apache utilisera la chaîne de caractères hostname:port que le client fournit, quand cela est possible. Ceci affecte aussi SERVER_NAME et SERVER_PORT dans les scripts CGI.
Ce problème est corrigé dans la version 2.8.9-2.1 pour l'actuelle distribution stable (Woody), dans la version 2.4.10-1.3.9-1potato4 pour l'ancienne distribution stable (Potato) et dans la version 2.8.9-2.3 pour la distribution instable (Sid).
Nous vous recommandons de mettre à jour votre paquet libapache-mod-ssl.
- Corrigé dans :
-
Debian GNU/Linux 2.2 (potato)
- Source :
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4.dsc
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4.diff.gz
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9.orig.tar.gz
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl-doc_2.4.10-1.3.9-1potato4_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_i386.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_m68k.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_powerpc.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_sparc.deb
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1.dsc
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1.diff.gz
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9.orig.tar.gz
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl-doc_2.8.9-2.1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_ia64.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.