Risque
- Exécution de code arbitraire
Systèmes affectés
- Module mod_survey versions 3.0.16-pre1 et antérieures (branche stable) ;
- module mod_survey versions 3.2.0-pre3 et antérieures (branche de développement) ;
Résumé
Un utilisateur mal intentionné peut exploiter une vulnérabilité du module mod_survey pour exécuter du code arbitraire.
Description
Le module mod_survey est un module du serveur HTTP Apache, utilisé pour traiter des questionnaires au format XML.
Il n'est pas installé par défaut.
Une vulnérabilité a été découverte dans le traitement des données. Elle permet d'injecter du code malicieux dans le rapport généré par le module mod_survey.
Cette vulnérabilité peut être exploitée par un utilisateur distant mal intentionné pour exécuter du code arbitraire.
Solution
Mettre à jour le module mod_survey. Les versions suivantes corrigent cette vulnérabilité :
- branche stable : version 3.0.16-pre2 ;
- branche de développement : version 3.2.0-pre4.
Documentation
- Avis de sécurité de mod_survey du 21 mars 2004 : http://gathering.itm.mh.se/modsurvey/SA20040321.txt
- Note d'information du CERTA sur les vulnérabilités de type "Cross Site Scripting" : http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-001/index.html