Vulnérabilité du module Apache mod_ssl

Gestion du document

Référence	CERTA-2004-AVI-247
Titre	Vulnérabilité du module Apache mod_ssl
Date de la première version	16 juillet 2004
Date de la dernière version	20 janvier 2005
Source(s)	Mise à jour de sécurité mod_ssl du 16 juillet 2004
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risques

Déni de service
Exécution de code arbitraire à distance

Systèmes affectés

Toutes les versions du module Apache mod_ssl antérieures à la version 2.8.19.

Résumé

Une vulnérabilité dans mod_ssl permet à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire à distance sur la plate-forme vulnérable.

Description

Une vulnérabilité de type débordement de mémoire est présente dans la fonction ssl_log() du module mod_ssl d'Apache.
Un utilisateur mal intentionné peut ainsi réaliser un déni de service ou exécuter du code arbitraire à distance sur un serveur Apache vulnérable.

Solution

Appliquer le correctif à partir des sources pour mettre à jour mod_ssl en version 2.8.19 :
```
http://www.modssl.org/source/mod_ssl-2.8.19-1.3.31.tar.gz
```
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Debian DSA-532 du 22 juillet 2004 :

http://www.debian.org/security/2004/dsa-532

Bulletin de sécurité FreeBSD "apache13-modssl -format string vulnerability in proxy support" du 17 octobre 2004 :

http://www.vuxml.org/freebsd/

Bulletin de sécurité Gentoo GLSA 200407-18 du 22 juillet 2004 :

http://www.gentoo.org/security/en/glsa/glsa-200407-18.xml

Bulletin de sécurité Mandrake MDKSA-2004:075 du 27 juillet 2004 :

http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:075

Mise à jour de sécurité du paquetage NetBSD ap-ssl :

ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/www/ap-ssl/README.html

Mise à jour de sécurité pour ``VMware ESX Server 1.5.2'' :

http://www.vmware.com/download/esx/esx152-10816update.html

Mise à jour de sécurité pour ``VMware ESX Server 2.0.1'' :

http://www.vmware.com/download/esx/esx201-11429update.html

Mise à jour de sécurité pour ``VMware ESX Server 2.1.2'' :

http://www.vmware.com/download/esx/esx212-10921update.html

Site Internet de mod_ssl :

http://www.modssl.org

Site Internet des mises à jour de mod_ssl :

http://www.modssl.org/news/

Site Internet du serveur web Apache :

http://httpd.apache.org

Gestion détaillée du document

le 16 juillet 2004: version initiale.
le 19 juillet 2004: ajout de la référence à la mise à jour NetBSD pour ap-ssl.
le 22 juillet 2004: ajout de la référence au bulletin de sécurité Gentoo.
le 23 juillet 2004: ajout de la référence au bulletin de sécurité Debian. Ajout référence CVE.
le 28 juillet 2004: ajout de la référence au bulletin de sécurité Mandrake.
le 18 octobre 2004: ajout de la référence au bulletin de sécurité FreeBSD.
le 20 janvier 2005: ajout de la référence aux mises à jour de sécurité VMware.

Avis du CERT-FR

Objet: Vulnérabilité du module Apache mod_ssl