S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 15 mars 2004
N° CERTA-2004-AVI-086
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité du serveur HTTP Apache

Gestion du document

Référence CERTA-2004-AVI-086
Titre Vulnérabilité du serveur HTTP Apache
Date de la première version15 mars 2004
Date de la dernière version18 mai 2004
Source(s) Avis OpenBSD #014 du 13 mars 2004
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité

Systèmes affectés

Serveur HTTP Apache 1.3.x sur les plates-formes 64 bits big endian.

Résumé

Une vulnérabilité du serveur HTTP Apache permet à un utilisateur mal intentionné de contourner la politique de sécurité.

Description

Le module mod_access du serveur HTTP Apache présente une vulnérabilité dans le traitement des règles Allow / Deny qui utilisent des adresses IP sans masque de réseau.
Cette vulnérabilité peut être exploitée par un utilisateur mal intentionné pour contourner des règles de sécurité.

Solution

Appliquer le correctif fournit par votre éditeur.
La version 1.3.30 d'Apache corrigera cette vulnérabilité. En attendant la sortie de cette version, appliquer le correctif disponible à l'adresse suivante :

http://cvs.apache.org/viewcvs.cgi/apache-1.3/src/modules/standard/mod_access.c?r1=1.46&r2=1.47

Documentation

Gestion détaillée du document

    le 15 mars 2004
    version initiale.
    le 16 mars 2004
    correction du lien sur le correctif.
    le 12 mai 2004
    ajout de la référence au bulletin de sécurité FreeBSD.
    le 18 mai 2004
    ajout de la référence à l'avis Mandrake.