S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 26 octobre 2001
N° CERTA-2001-AVI-131
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités du serveur Apache

Gestion du document

Référence CERTA-2001-AVI-131
Titre Vulnérabilités du serveur Apache
Date de la première version 26 octobre 2001
Date de la dernière version 26 octobre 2001
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Accès à des informations confidentielles
  • Destruction d'informations

Systèmes affectés

Serveurs HTTP Apache version 1.3.20 et antérieures.

Résumé

Il existe deux vulnérabilités dans le serveur HTTP Apache, permettant à un utilisateur mal intentionné de récupérer des informations sur le système ou d'écraser des fichiers existants.

Description

La première vulnérabilité concerne le programme split-logfile. Ce programme écrit en Perl sert à traiter les fichiers de logs. Une vulnérabilité de ce programme permet à un utilisateur mal intentionné d'écraser n'importe quel fichier ayant une extension .log.

La deuxième vulnérabilité concerne le module mod_negotiation. Un utilisateur mal intentionné peut, à l'aide d'une URL habilement choisie, contourner le mécanisme de ce module et obtenir des informations sur la structure des fichiers du serveur.

Contournement provisoire

Concernant le programme split-logfile, il faut le désactiver s'il n'est pas utilisé.

Pour se protéger de la vulnérabilité du module mod_negotiation, il faut désactiver les options Indexes et Multiviews.

Solution

Ces vulnérabilités ont été corrigées dans la version 1.3.21.

Documentation

Gestion détaillée du document

    le 26 octobre 2001
    version initiale.