Risque
- Exécution de code arbitraire à distance ;
- déni de service.
Systèmes affectés
- mod_ssl versions antérieures à 2.8.18.
- Apache 2.0.x.
Résumé
Une vulnérabilité présente dans le module mod_ssl d'Apache peut être exploitée par un utilisateur mal intentionné pour réaliser, sous certaines conditions, l'exécution de code arbitraire à distance ou provoquer un déni de service.
Description
Une vulnérabilité de type débordement de mémoire est présente dans la fonction ssl_util_uuencode_binary() du module mod_ssl d'Apache, fonction appellée lors de la vérification des certificats client.
Par le biais d'un certificat habilement constitué, un utilisateur mal intentionné peut exécuter du code arbitraire à distance sur un serveur apache vulnérable.
Pour que la vulnérabilité puisse être exploitée, deux conditions doivent être réunies :
- l'option FakeBasicAuth est activée ;
- le certificat client est valide (autorité de certification reconnue par le serveur).
Solution
Appliquer les correctifs à partir des sources :
- pour Apache 1.3.x :
http://www.modssl.org/source/mod_ssl-2.8.18-1.3.31.tar.gz
- pour Apache 2.0.x :
http://cvs.apache.org/viewcvs.cgi/httpd-2.0/modules/ssl/ssl_engine_kernel.c?r1=1.105&r2=1.106
Pour OpenBSD, appliquer les correctifs :
- Pour OpenBSD 3.5, le correctif est téléchargeable à l'adresse suivante :
ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.5/common/013_httpd.patch
- pour OpenBSD 3.4, le correctif est téléchargeable à l'adresse suivante :
ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.4/common/025_httpd3.patch
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Mandrake MDKSA-2004:054 du 01 juin 2004 :
http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:054
- Bulletin de sécurité Mandrake MDKSA-2004:055 du 01 juin 2004 :
http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:055
- Bulletin de sécurité RedHat RHSA-2004:245 du 14 juin 2004 :
http://rhn.redhat.com/errata/RHSA-2004-245.html
- Bulletin de sécurité RedHat RHSA-2004:342 du 06 juillet 2004 :
http://rhn.redhat.com/errata/RHSA-2004-342.html
- Bulletin de sécurité Gentoo GLSA 200406-05 du 09 juin 2004 :
http://www.gentoo.org/security/en/glsa/glsa-200406-05.xml
- Bulletin de sécurité OpenBSD du 12 juin 2004 :
http://www.openbsd.org/errata.html#httpd
http://www.openbsd.org/errata34.html
- Mise à jour de sécurité des paquetages NetBSD apache et apache2 :
ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/www/apache/README.html
ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/www/apache2/README.html
- Bulletin de sécurité Apple du 07 septembre 2004 :
http://docs.info.apple.com/article.html?artnum=61798
- Référence CVE CAN-2004-0488 :
https://www.cve.org/CVERecord?id=CAN-2004-0488