Risque
- Atteinte à la confidentialité des données
Systèmes affectés
- module mod_python versions 2.7.10 et antérieures.
- Module mod_python versions 3.1.3 et antérieures ;
Résumé
Une vulnérabilité du module Apache mod_python permet à un utilisateur distant d'accéder à des informations confidentielles.
Description
Le module Apache mod_python est un interpréteur du langage Python pour les serveurs HTTP Apache.
Une vulnérabilité a été découverte dans le module mod_python. Elle permet à un utilisateur distant mal intentionné de récupérer, par le biais d'une URL malicieusement construite, des informations qui ne devraient pas être visibles.
Solution
Les versions 3.1.4 et 2.7.11 corrigent cette vulnérabilité. Appliquer le correctif proposé par l'éditeur (cf. section Documentation).
Documentation
- Bulletin de sécurité Debian DSA-689 du 23 février 2005 : http://www.debian.org/security/2005/dsa-689
- Bulletin de sécurité FreeBSD sur mod_pyton du 13 février 2003 : http://www.vuxml.org/freebsd/
- Bulletin de sécurité Gentoo GLSA 200502-14 du 13 février 2005 : http://www.gentoo.org/security/en/glsa/glsa-200502-14.xml
- Bulletin de sécurité RedHat RHSA-2005:100-04 du 15 février 2005 : http://rhn.redhat.com/errata/RHSA-2005-100.html
- Bulletin de sécurité RedHat RHSA-2005:104-03 du 10 février 2005 : http://rhn.redhat.com/errata/RHSA-2005-104.html
- Mise à jour de sécurité du paquetage NetBSD ap-python : ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/www/ap-python/README.html
- Référence CVE CAN-2005-088 : http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0088
- Site Internet du module mod_python : http://www.modpython.org
