S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 16 juillet 2004
N° CERTA-2004-AVI-247-006
Affaire suivie par: CERT-FR
le 16 juillet 2004

Avis du CERT-FR

Objet: Vulnérabilité du module Apache mod_ssl

Gestion du document

Référence CERTA-2004-AVI-247-006
Titre Vulnérabilité du module Apache mod_ssl
Date de la première version 16 juillet 2004
Date de la dernière version 20 janvier 2005
Source(s) Mise à jour de sécurité mod_ssl du 16 juillet 2004
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • déni de service.

Systèmes affectés

Toutes les versions du module Apache mod_ssl antérieures à la version 2.8.19.

Résumé

Une vulnérabilité dans mod_ssl permet à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire à distance sur la plate-forme vulnérable.

Description

Une vulnérabilité de type débordement de mémoire est présente dans la fonction ssl_log() du module mod_ssl d'Apache.
Un utilisateur mal intentionné peut ainsi réaliser un déni de service ou exécuter du code arbitraire à distance sur un serveur Apache vulnérable.

Solution

Documentation

Gestion détaillée du document

    le 16 juillet 2004
    version initiale.
    le 19 juillet 2004
    ajout de la référence à la mise à jour NetBSD pour ap-ssl.
    le 22 juillet 2004
    ajout de la référence au bulletin de sécurité Gentoo.
    le 23 juillet 2004
    ajout de la référence au bulletin de sécurité Debian. Ajout référence CVE.
    le 28 juillet 2004
    ajout de la référence au bulletin de sécurité Mandrake.
    le 18 octobre 2004
    ajout de la référence au bulletin de sécurité FreeBSD.
    le 20 janvier 2005
    ajout de la référence aux mises à jour de sécurité VMware.