Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • versions de Apache-ssl antérieures à la version 1.3.22-1.47.
  • Versions du module mod_ssl antérieures à la version 2.8.7-1.3.23;

Résumé

Une vulnérabilité de type « débordement de mémoire » présente dans le module mod_ssl et apache-ssl permet à un utilisateur mal intentionné l'exécution de code arbitraire à distance.

Description

SSL permet l'utilisation de connexions sécurisées sur des serveurs web (https://) ou autres serveurs sécurisés (ftps://).

Une vulnérabilité de type « débordement de mémoire » à été découverte dans le mécanisme de gestion de cache de sessions.

Cette vulnérabilité permet à un utilisateur mal intentionné de réaliser l'exécution de code arbitraire à distance.

Contournement provisoire

Désactiver le paramètre -DSSL dans le script httpd en attendant d'appliquer les correctifs.

Solution

Installer les correctifs disponibles sur

http://www.apache-ssl.org/

et sur

http://www.modssl.org/

Documentation