Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2452-1 apache2

Bulletin d'alerte Debian

DSA-2452-1 apache2 -- Configuration par défaut non sécurisée

Date du rapport :

15 avril 2012

Paquets concernés :

apache2

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2012-0216.

Plus de précisions :

Niels Heinen a remarqué un problème de sécurité avec la configuration d'Apache par défaut dans Debian si certains modules de script comme mod_php ou mod_rivet sont installés. Le problème survient parce que le répertoire /usr/share/doc, lié à l'URL /doc, pourrait contenir des scripts en exemple pouvant être exécutés par des requêtes vers cette URL. Bien que l'accès à l'URL /doc soit restreint aux connexions depuis l'hôte local, cela peut poser des problèmes de sécurité dans deux configurations particulières :

• si une quelconque interface de serveur sur le même hôte transfère les connexions vers un serveur Apache 2 en arrière-plan vers l'adresse locale ;
• si la machine exécutant Apache 2 est aussi utilisée pour naviguer sur le web.

Les systèmes qui ne vérifient pas une de ces deux conditions ne devraient pas être vulnérables. L'impact de sécurité réel dépend des paquets (et par conséquent des scripts en exemple) installés sur le système. Script intersite, exécution de code ou fuite de données sensibles font partie des problèmes possibles.

Cette mise à jour supprime les sections de configuration problématiques des fichiers /etc/apache2/sites-available/default et …/default-ssl. Lors de la mise à niveau, vous ne devriez cependant pas permettre à dpkg de remplacer ces fichiers aveuglément. À la place, vous devriez fusionner les modifications, c'est-à-dire la suppression de la ligne Alias /doc "/usr/share/doc" et du bloc <Directory "/usr/share/doc/"> relatif, dans ces fichiers de configuration. Vous devriez aussi vérifier de ne pas avoir copié ces sections dans d'autres configurations d'hôte virtuel.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.2.16-6+squeeze7.

Pour la distribution testing (Wheezy), ce problème sera corrigé dans la version 2.2.22-4.

Pour la distribution unstable (Sid), ce problème sera corrigé dans la version 2.2.22-4.

Pour la distribution experimental, ce problème a été corrigé dans la version 2.4.1-3.

Nous vous recommandons de mettre à jour vos paquets apache2 et d'ajuster votre configuration.