Risques
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
HP-UX B.11.x exécutant des versions d'Apache-based Web Server antérieures à 2.0.58.01.
Résumé
Plusieurs vulnérabilités concernant Apache sur HP-UX permettraient à un attaquant d'exécuter du code arbitraire à distance, de provoquer un déni de service à distance et/ou de contourner la politique de sécurité.
Description
Plusieurs vulnérabilités sur les versions antérieures à 0.9.7l et 0.9.8d d'OpenSSL permettent à une personne malintentionnée d'exécuter du code arbitraire à distance, de provoquer un déni de service à distance, et/ou de contourner la politique de sécurité.
Ces vulnérabilités d'OpenSSL sont corrigées dans la mise à jour de HP-UX Apache-based Web Server 2.0.58.01. Une mise à jour est également disponible pour le logiciel OpenSSL sur HP-UX sans Apache.
Solution
Se référer aux mises à jour de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Mise à jour d'Apache pour HP-UX http://h20293.www2.hp.com/cgi-bin/swdepot_parser.cgi/cgi/displayProductInfo.pl?productNumber=HPUXWSSUITE
- Mise à jour d'OpenSSL pour HP-UX : http://h20293.www2.hp.com/portal/swdepot/displayProductInfo.do?productNumber=OPENSSL11l
- Référence CVE CVE-2005-2969 https://www.cve.org/CVERecord?id=CVE-2005-2969
- Référence CVE CVE-2006-2937 https://www.cve.org/CVERecord?id=CVE-2006-2937
- Référence CVE CVE-2006-2940 https://www.cve.org/CVERecord?id=CVE-2006-2940
- Référence CVE CVE-2006-2969 https://www.cve.org/CVERecord?id=CVE-2006-2969
- Référence CVE CVE-2006-3738 https://www.cve.org/CVERecord?id=CVE-2006-3738
- Référence CVE CVE-2006-4339 https://www.cve.org/CVERecord?id=CVE-2006-4339
- Référence CVE CVE-2006-4343 https://www.cve.org/CVERecord?id=CVE-2006-4343