Risque
Contournement des règles de sécurité.
Systèmes affectés
mod_ssl versions 2.x antérieures à la version 2.8.4.Description
mod_ssl est un module pour le serveur web apache destiné à assurer les fonctions de cryptographie de ce serveur.Une vulnérabilité présente sur ce module permet à un utilisateur mal intentionné d'accèder à des pages Internet non autorisées. Cette vulnérabilité est due à un problème dans la vérification des certificats client.
Contournement provisoire
Mettre à jour le module avec la version 2.8.24.
Solution
- Site Internet de mod_ssl :
http://www.modssl.org/
- Mise à jour de mod_ssl :
http://www.modssl.org/source/mod_ssl-2.8.24-1.3.33.tar.gz
- Bulletin de sécurité SUSE SuSE-SA:2005:051 du 12 septembre 2005 :
http://www.novell.com/linux/security/advisories/2005_51_apache2.html
- Debian Linux :
- Bulletin de sécurité Debian DSA-805 du 08 septembre 2005 (apache2) :
http://www.debian.org/security/2005/dsa-805
- Bulletin de sécurité Debian DSA-807 du 12 septembre 2005 (libapache-mod-ssl) :
http://www.debian.org/security/2005/dsa-807
- Bulletin de sécurité Debian DSA-805 du 08 septembre 2005 (apache2) :
- Bulletin de sécurité Mandriva MDKSA-2005:161 du 08 septembre 2005 :
http://www.mandriva.com/security/advisories?name=MDKSA-2005:161
- Bulletins de sécurité Red Hat Linux RHSA-2005-773 du 15 septembre 2005 :
http://rhn.redhat.com/errata/RHSA-2005-773.html
- Bulletin de sécurité Gentoo GLSA-200509-12 du 19 septembre 2005 :
http://www.gentoo.org/security/en/glsa/glsa-200509-12.xml
- Référence CVE CAN-2005-2700 :
https://www.cve.org/CVERecord?id=CAN-2005-2700