Bulletin d'alerte Debian

DSA-532-2 libapache-mod-ssl -- Plusieurs vulnérabilités

Date du rapport :
27 juillet 2004
Paquets concernés :
libapache-mod-ssl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2004-0488, CVE-2004-0700.
Plus de précisions :

Deux vulnérabilités ont été découvertes dans libapache-mod-ssl :

  • CAN-2004-0488

    Lorsque mod_ssl est configuré pour faire confiance à l'autorité de certification émettrice, un dépassement de tampon basé sur la pile dans la fonction ssl_util_uuencode_binary de ssl_util.c pour Apache mod_ssl peut permettre à des attaquants distants d'exécuter n'importe quel code à travers un certificat client avec un nom absolu (DN, distinguished name) ayant un sujet long.

  • CAN-2004-0700

    Une vulnérabilité de chaîne de formatage dans la fonction ssl_log dans ssl_engine_log.c de la version 2.8.19 de mod_ssl pour la version 1.3.31 d'Apache peut permettre à des attaquants distants d'exécuter n'importe quels messages via les spécifications de conversion des chaînes de formatage dans certains messages de journalisation pour HTTPS.

Pour la distribution stable (Woody), ces problèmes ont été corrigés dans la version 2.8.9-2.4.

Pour la distribution instable (Sid), CAN-2004-0488 a été corrigé dans la version 2.8.18, et CAN-2004-0700 sera bientôt corrigé.

Nous vous recommandons de mettre à jour votre paquet libapache-mod-ssl.

Corrigé dans :

Debian GNU/Linux 3.0 (woody)

Source :
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4.dsc
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4.diff.gz
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl-doc_2.8.9-2.4_all.deb
ARM:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.4_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.

Les sommes MD5 des fichiers indiqués sont disponibles dans la nouvelle annonce de sécurité.