Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2405-1 apache2

Bulletin d'alerte Debian

DSA-2405-1 apache2 -- Plusieurs vulnérabilités

Date du rapport :

6 février 2012

Paquets concernés :

apache2

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2011-3607, CVE-2011-3368, CVE-2011-3639, CVE-2011-4317, CVE-2012-0031, CVE-2012-0053.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le serveur HTTP Apache.

• CVE-2011-3607 :

  Un dépassement d'entier dans ap_pregsub() pourrait permettre aux attaquants locaux d'exécuter du code arbitraire avec des droits élevés à l'aide de fichiers .htaccess contrefaits.

• CVE-2011-3368 CVE-2011-3639 CVE-2011-4317 :

  Le serveur HTTP Apache ne validait pas correctement les URI de requête pour les requêtes venant de serveur mandataire (proxy). Dans certaines configurations de serveur mandataire inversé utilisant la directive ProxyPassMatch ou la directive RewriteRule avec l'option [P], un attaquant distant pourrait forcer le serveur mandataire à se connecter à un serveur arbitraire. Cela pourrait permettre à l'attaquant d'accéder aux serveurs internes qui ne sont pas normalement accessibles depuis l'extérieur.

  Les trois identifiants de CVE indiquent des variantes légèrement différentes du même problème.

  Remarquez que, même une fois ce problème corrigé, il est de la responsabilité de l'administrateur de s'assurer que l'expression rationnelle de motif de remplacement pour l'URI cible ne permet pas à un client d'ajouter des chaînes arbitraires aux parties de l'hôte ou du port de l'URI cible. Par exemple la configuration

    ProxyPassMatch ^/mail(.*)http://internal-host$1
  

  est toujours non sécurisée et devrait être remplacée par l'une des configurations suivantes :

    ProxyPassMatch ^/mail(/.*)http://internal-host$1
    ProxyPassMatch ^/mail/(.*)http://internal-host/$1
  

• CVE-2012-0031 :

  Un processus fils apache2 pourrait forcer le processus parent à planter lors de l'extinction. C'est une violation de la sépartation des droits entre les processus apache2 et pourrait éventuellement être utilisé pour empirer l'impact d'autres vulnérabilités.

• CVE-2012-0053 :

  Le message de réponse du code d'erreur 400 (mauvaise requête) pourrait être utilisé pour exposer les cookies httpOnly. Cela pourrait permettre à un attaquant distant utilisant un script intersite de voler les cookies d'authentification.

Pour la distribution oldstable (Lenny), ces problèmes ont été corrigés dans la version 2.2.9-10+lenny12 d'apache2.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 2.2.16-6+squeeze6 d'apache2.

Pour la distribution testing (Wheezy), ces problèmes seront corrigés dans la version 2.2.22-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.2.22-1.

Nous vous recommandons de mettre à jour vos paquets apache2.

Cette mise à jour contient également des paquets apache2-mpm-itk mis à jour qui ont été recompilés en cohérence avec les paquets apache2 mis à jour. Le nouveau numéro de version pour la distribution oldstable est 2.2.6-02-1+lenny7. Pour la distribution stable, apache2-mpm-itk a le même numéro de version qu'apache2.