Risque

  • Contournement de la politique de sécurité

Systèmes affectés

Module mod_ssl du serveur HTTP Apache versions 2.0.35 à 2.0.52 incluses.

Résumé

Une vulnérabilité du module mod_ssl du serveur HTTP Apache permet à un utilisateur mal intentionné de contourner la politique de sécurité.

Description

Une vulnérabilité a été découverte dans la gestion des paramètres des sessions SSL.

Cette vulnérabilité permet à un utilisateur mal intentionné de contourner la politique de sécurité en se connectant au serveur avec des paramètres uniquement autorisés pour la connexion à l'un des serveurs virtuels.

Pour pouvoir exploiter cette vulnérabilité, le serveur doit être configuré avec la directive SSLCipherSuite.

Solution

Appliquer les correctifs fournis par l'éditeur (cf. section Documentation).

La version 2.0.53-dev corrige cette vulnérabilité.

Documentation