Bulletin d'alerte Debian

DSA-187-1 apache -- Plusieurs failles

Date du rapport :

4 novembre 2002

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 5847, Identifiant BugTraq 5884, Identifiant BugTraq 5887, Identifiant BugTraq 2182, Identifiant BugTraq 5995.
Dans le dictionnaire CVE du Mitre : CVE-2002-0839, CVE-2002-0840, CVE-2002-0843, CVE-2001-0131, CVE-2002-1233.

Plus de précisions :

Selon David Wagner, iDEFENSE et le Projet Apache HTTP Server, plusieurs failles exploitables à distance ont été trouvées dans le paquet Apache, un serveur web très répandu. Ces vulnérabilités permettraient à un attaquant de mettre hors service le serveur ou bien d'exécuter une attaque via les scripts utilisés. Le projet Common Vulnerabilities and Exposures (CVE) a identifié les failles suivantes :

CAN-2002-0839 : Une faille existe sur les plates-formes utilisant les afficheurs basés sur la mémoire partagée à la System V. Cette faille permet à un attaquant de faire exécuter du code par l'UID d'Apache pour exploiter le format de cet afficheur et d'envoyer un signal à n'importe quel processus en tant que root ou de causer un déni de service ;
CAN-2002-0840 : Apache est susceptible d'être vulnérable à une attaque sur les éléments dynamiques de la page 404 par défaut de n'importe quel serveur web hébergé par un domaine qui autorise la résolution de DNS avec des caractères joker ;
CAN-2002-0843 : Il y a quelques débordements de mémoire dans l'utilitaire ApacheBench (ab) qui pourraient être utilisé par un serveur malveillant ;
CAN-2002-1233 : Une condition d'exécution dans les programmes htpasswd et htdigest permet à un utilisateur local de lire voire de modifier le contenu d'un fichier de mots de passe ou facilement créer et écraser des fichiers appartenant à la personne qui fait tourner le programme htpasswd (ou htdigest respectivement) ;
CAN-2001-0131 : htpasswd et htdigest dans Apache 2.0a9, 1.3.14 et autres permettent aux utilisateurs locaux d'écraser des fichiers de manière arbitraire par une attaque à base de liens symboliques.
Ceci est la même faille que celle de CAN-2002-1233, qui a déjà été corrigée dans Potato mais elle fut perdue et donc jamais appliquée dans le source original ;
NO-CAN : Plusieurs débordements de tampon ont été trouvé dans l'utilitaire ApacheBench (ab) qui pourraient être exploités par un serveur distant en renvoyant des chaînes de caractère très longues.

Ces problèmes ont été corrigés dans la version 1.3.26-0woody3 pour l'actuelle distribution stable (Woody) et dans celle 1.3.9-14.3 pour l'ancienne distribution stable (Potato). Les paquets corrigés pour la distribution instable (Sid) seront bientôt prêts.

Nous recommandons de mettre à jour votre paquet Apache immédiatement.

Corrigé dans :

Debian GNU/Linux 2.2 (potato)

Source :: http://security.debian.org/pool/updates/main/a/apache/apache_1.3.9-14.3.diff.gz; http://security.debian.org/pool/updates/main/a/apache/apache_1.3.9-14.3.dsc; http://security.debian.org/pool/updates/main/a/apache/apache_1.3.9.orig.tar.gz
Composant indépendant de l'architecture :: http://security.debian.org/pool/updates/main/a/apache/apache-doc_1.3.9-14.3_all.deb
Alpha:: http://security.debian.org/pool/updates/main/a/apache/apache_1.3.9-14.3_alpha.deb; http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.9-14.3_alpha.deb; http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.9-14.3_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/a/apache/apache_1.3.9-14.3_arm.deb; http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.9-14.3_arm.deb; http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.9-14.3_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/a/apache/apache_1.3.9-14.3_i386.deb; http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.9-14.3_i386.deb; http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.9-14.3_i386.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/a/apache/apache_1.3.9-14.3_m68k.deb; http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.9-14.3_m68k.deb; http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.9-14.3_m68k.deb
PowerPC:: http://security.debian.org/pool/updates/main/a/apache/apache_1.3.9-14.3_powerpc.deb; http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.9-14.3_powerpc.deb; http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.9-14.3_powerpc.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/a/apache/apache_1.3.9-14.3_sparc.deb; http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.9-14.3_sparc.deb; http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.9-14.3_sparc.deb

Debian GNU/Linux 3.0 (woody)

Source :: http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3.diff.gz; http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3.dsc; http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26.orig.tar.gz
Composant indépendant de l'architecture :: http://security.debian.org/pool/updates/main/a/apache/apache-doc_1.3.26-0woody3_all.deb
Alpha:: http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_alpha.deb; http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_alpha.deb; http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_arm.deb; http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_arm.deb; http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_i386.deb; http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_i386.deb; http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_ia64.deb; http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_ia64.deb; http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_ia64.deb
HP Precision:: http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_hppa.deb; http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_hppa.deb; http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_m68k.deb; http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_m68k.deb; http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_mips.deb; http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_mips.deb; http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_mipsel.deb; http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_mipsel.deb; http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_powerpc.deb; http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_powerpc.deb; http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_s390.deb; http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_s390.deb; http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/a/apache/apache_1.3.26-0woody3_sparc.deb; http://security.debian.org/pool/updates/main/a/apache/apache-common_1.3.26-0woody3_sparc.deb; http://security.debian.org/pool/updates/main/a/apache/apache-dev_1.3.26-0woody3_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.