S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 15 mars 2004
N° CERTA-2004-AVI-091
Affaire suivie par: CERT-FR
le 15 mars 2004

Avis du CERT-FR

Objet: Compromission possible de certificats sur HP HTTP Server

Gestion du document

Référence CERTA-2004-AVI-091
Titre Compromission possible de certificats sur HP HTTP Server
Date de la première version 15 mars 2004
Date de la dernière version 15 mars 2004
Source(s) Avis de sécurité HP SSRT4679
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Compromission de certificats.

Systèmes affectés

HP HTTP Server versions 5.0 à 5.92 incluse.

Résumé

Un utilisateur anonyme distant peut compromettre le serveur de certificats «de confiance».

Description

HP HTTP Server est un composant de HP Web-enabled Management Software.

Par défaut, l'option «Accès Anonyme» (Anonymous Access) est désactivée sur ce logiciel. Si l'option «Accès Anonyme» est activée, un utilisateur distant mal intentionné peut se connecter anonymement sur le serveur de certificats de confiance et compromettre celui-ci.

Contournement provisoire

Désactiver l'option «Accès Anonyme» si elle est activée.

Solution

Installer la version 5.93 de HP HTTP Server.

Pour les utilisateurs de Windows, un correctif est disponible sur le site de HP :

http://h18023.www1.hp.com/support/files/Server/us/download/20197.html

Pour les autres plateformes, la version 5.93 de HP HTTP Server sera incluse dans les prochaines mises à jour de HP Web-enabled Management Software.

Documentation

Pour les clients HP :

http://itrc.hp.com

Gestion détaillée du document

    le 15 mars 2004
    version initiale.