Risque
- Contournement des règles de sécurité
Systèmes affectés
mod_ssl versions 2.x antérieures à la version 2.8.4.
Description
mod_ssl est un module pour le serveur web apache destiné à assurer les fonctions de cryptographie de ce serveur.
Une vulnérabilité présente sur ce module permet à un utilisateur mal intentionné d'accèder à des pages Internet non autorisées. Cette vulnérabilité est due à un problème dans la vérification des certificats client.
Contournement provisoire
Mettre à jour le module avec la version 2.8.24.
Solution
-
Site Internet de mod_ssl :
http://www.modssl.org/ -
Mise à jour de mod_ssl :
http://www.modssl.org/source/mod_ssl-2.8.24-1.3.33.tar.gz -
Bulletin de sécurité SUSE SuSE-SA:2005:051 du 12 septembre 2005 :
http://www.novell.com/linux/security/advisories/2005_51_apache2.html -
Debian Linux :
-
Bulletin de sécurité Debian DSA-805 du 08 septembre 2005 (apache2) :
http://www.debian.org/security/2005/dsa-805 -
Bulletin de sécurité Debian DSA-807 du 12 septembre 2005 (libapache-mod-ssl) :
http://www.debian.org/security/2005/dsa-807
-
-
Bulletin de sécurité Mandriva MDKSA-2005:161 du 08 septembre 2005 :
http://www.mandriva.com/security/advisories?name=MDKSA-2005:161 -
Bulletins de sécurité Red Hat Linux RHSA-2005-773 du 15 septembre 2005 :
http://rhn.redhat.com/errata/RHSA-2005-773.html -
Bulletin de sécurité Gentoo GLSA-200509-12 du 19 septembre 2005 :
http://www.gentoo.org/security/en/glsa/glsa-200509-12.xml -
Référence CVE CAN-2005-2700 :
https://www.cve.org/CVERecord?id=CAN-2005-2700
