Premier Ministre

S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 17 avril 2009

N° CERTA-2009-AVI-149

Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans mod_perl pour Apache

Gestion du document

Référence	CERTA-2009-AVI-149
Titre	Vulnérabilité dans mod_perl pour Apache
Date de la première version	17 avril 2009
Date de la dernière version	17 décembre 2009
Source(s)	Note de changements de la version 1.31 du 01 avril 2009

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Injection de code indirecte

Systèmes affectés

mod_perl, pour les versions anérieures à 1.31.

Résumé

Une vulnérabilité dans le module mod_perl pour Apache permet à une personne distante malintentionnée de réaliser une injection de code indirecte (cross site scripting).

Description

Une vulnérabilité causée par un manque de contrôle des variables fournies aux modules Apache::Status et Apache2::Status permet à une personne malveillante d'injecter du code arbitraire dans le contexte du navigateur Internet d'un utilisateur.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Mandriva MDVSA-2009:091 du 12 avril 2009 :

http://www.mandriva.com/security/advisories?name=MDVSA-2009:091

Bulletin de sécurité Sun Solaris #274110 du 15 décembre 2009 :

http://sunsolve.sun.com/search/document.do?assetkey=1-66-274110-1

Notes de changements pour la version 1.31 de mod_perl :

http://svn.apache.org/repos/asf/perl/modperl/branches/1.x/Changes

Page du projet mod_perl pour Apache :

http://perl.apache.org

Référence CVE CVE-2009-0796

https://www.cve.org/CVERecord?id=CVE-2009-0796

Gestion détaillée du document

le 17 avril 2009: version initiale ;
le 17 décembre 2009: ajout des bulletins de sécurité Sun Solaris et Mandriva.