{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Module <SPAN class=\"textit\">mod_ssl</SPAN> du serveur HTTP  Apache versions 2.0.35 \u00e0 2.0.52 incluses.</P>","content":"## Description\n\nUne vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans la gestion des param\u00e8tres des\nsessions SSL.\n\nCette vuln\u00e9rabilit\u00e9 permet \u00e0 un utilisateur mal intentionn\u00e9 de\ncontourner la politique de s\u00e9curit\u00e9 en se connectant au serveur avec des\nparam\u00e8tres uniquement autoris\u00e9s pour la connexion \u00e0 l'un des serveurs\nvirtuels.  \n\nPour pouvoir exploiter cette vuln\u00e9rabilit\u00e9, le serveur doit \u00eatre\nconfigur\u00e9 avec la directive SSLCipherSuite.\n\n## Solution\n\nAppliquer les correctifs fournis par l'\u00e9diteur (cf. section\nDocumentation).  \n\nLa version 2.0.53-dev corrige cette vuln\u00e9rabilit\u00e9.\n","cves":[],"links":[{"title":"Mise \u00e0 jour de s\u00e9curit\u00e9 pour ``VMware ESX Server 2.1.2'' :","url":"http://www.vmware.com/download/esx/esx212-10921update.html"},{"title":"Site Internet du serveur HTTP Apache :","url":"http://httpd.apache.org"},{"title":"Bulletin de s\u00e9curit\u00e9 d'Apache du 11 octobre 2004 :","url":"http://www.apacheweek.com/features/security-20"},{"title":"Correctifs fournis par Apache :","url":"http://nagoya.apache.org/bugzilla/show_bug_cg?id=31505"},{"title":"Mise \u00e0 jour de s\u00e9curit\u00e9 pour ``VMware ESX Server 1.5.2'' :","url":"http://www.vmware.com/download/esx/esx152-10816update.html"},{"title":"Mise \u00e0 jour de s\u00e9curit\u00e9 pour ``VMware ESX Server 2.0.1'' :","url":"http://www.vmware.com/download/esx/esx201-11429update.html"}],"reference":"CERTA-2004-AVI-343","revisions":[{"description":"version initiale.","revision_date":"2004-10-14T00:00:00.000000"},{"description":"ajout r\u00e9f\u00e9rence aux mises \u00e0 jour de s\u00e9curit\u00e9 VMware.","revision_date":"2005-01-20T00:00:00.000000"}],"risks":[{"description":"Contournement de la politique de s\u00e9curit\u00e9"}],"summary":"Une vuln\u00e9rabilit\u00e9 du module <span class=\"textit\">mod_ssl</span> du\nserveur HTTP Apache permet \u00e0 un utilisateur mal intentionn\u00e9 de\ncontourner la politique de s\u00e9curit\u00e9.\n","title":"Vuln\u00e9rabilit\u00e9 du module mod_ssl du serveur HTTP Apache","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Apache du 11 octobre 2004","url":null}]}