S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 10 février 2004
N° CERTA-2004-AVI-029
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité du serveur HTTP Apache-SSL

Gestion du document

Référence CERTA-2004-AVI-029
Titre Vulnérabilité du serveur HTTP Apache-SSL
Date de la première version10 février 2004
Date de la dernière version12 mai 2004
Source(s) Avis de sécurité d'Apache-SSL du 06 février 2004
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Accès non autorisé au serveur http apache-ssl

Systèmes affectés

Serveur HTTP Apache-SSL versions 1.3.28+1.52 et antérieures.

Résumé

Une vulnérabilité dans le serveur HTTP Apache-SSL permet à un utilisateur mal intentionné d'accèder au serveur sans autorisation.

Description

Apache-SSL est un serveur HTTP basé sur le serveur HTTP Apache et SSLeay/OpenSSL.

A l'aide de l'instruction SSLVerifyClient, il est possible de vérifier la présence d'un certificat côté client. Pour cela, le serveur nécessite un fichier contenant, pour chaque utilisateur autorisé à se connecter, le Distinguished Name (DN) du client, et le chiffrement du mot de passe par défaut password (la chaîne chiffrée est xxj31ZMTZzkVA).

Dans le cas où le certificat client est optionnel (la valeur de l'instruction SSLVerifyClient fixée à "1" ou à "3"), et si la directive SSLFakeBasicAuth est activée, il est alors possible pour une personne mal intentionnée d'usurper l'identité d'un utilisateur (le DN) pour se connecter au serveur.

Solution

La version 1.3.29+1.53 corrige cette vulnérabilité. Elle est disponible sur le site d'Apache-SSL (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 10 février 2004
    version initiale.
    le 12 mai 2004
    ajout référence au bulletin de sécurité FreeBSD.