Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

mod_auth_pgsql version 2.0.2b1 pour Apache 2.x. D'autres versions antérieures peuvent être affectées.

Résumé

Une vulnérabilité dans le module mod_auth_pgsql pour Apache 2.x permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.

Description

mod_auth_pgsql permet la mise en œuvre dans Apache de l'authentification à partir d'une base de données PostgreSQL. Un manque de contrôle du nom d'utilisateur (username) fourni lors de l'authentification permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire à distance par le biais d'un nom d'utilisateur malicieusement constitué.

Solution

La version 2.0.3 de mod_auth_pgsql corrige ce problème (voir Documentation).

Documentation