Risque
- Contournement de la politique de sécurité
Systèmes affectés
Module mod_ssl du serveur HTTP Apache versions 2.0.35 à 2.0.52 incluses.
Résumé
Une vulnérabilité du module mod_ssl du serveur HTTP Apache permet à un utilisateur mal intentionné de contourner la politique de sécurité.
Description
Une vulnérabilité a été découverte dans la gestion des paramètres des sessions SSL.
Cette vulnérabilité permet à un utilisateur mal intentionné de contourner la politique de sécurité en se connectant au serveur avec des paramètres uniquement autorisés pour la connexion à l'un des serveurs virtuels.
Pour pouvoir exploiter cette vulnérabilité, le serveur doit être configuré avec la directive SSLCipherSuite.
Solution
Appliquer les correctifs fournis par l'éditeur (cf. section Documentation).
La version 2.0.53-dev corrige cette vulnérabilité.
Documentation
- Bulletin de sécurité d'Apache du 11 octobre 2004 : http://www.apacheweek.com/features/security-20
- Correctifs fournis par Apache : http://nagoya.apache.org/bugzilla/show_bug_cg?id=31505
- Mise à jour de sécurité pour ``VMware ESX Server 1.5.2'' : http://www.vmware.com/download/esx/esx152-10816update.html
- Mise à jour de sécurité pour ``VMware ESX Server 2.0.1'' : http://www.vmware.com/download/esx/esx201-11429update.html
- Mise à jour de sécurité pour ``VMware ESX Server 2.1.2'' : http://www.vmware.com/download/esx/esx212-10921update.html
- Site Internet du serveur HTTP Apache : http://httpd.apache.org
