S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 22 avril 2010
N° CERTA-2010-AVI-193
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans mod_auth_shadow pour Apache

Gestion du document

Référence CERTA-2010-AVI-193
Titre Vulnérabilité dans mod_auth_shadow pour Apache
Date de la première version22 avril 2010
Date de la dernière version22 avril 2010
Source(s) Rapport de bug Redhat #578168 du 09 avril 2010

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité

Systèmes affectés

  • mod_auth_shadow (branche 1.x) versions antérieures à 1.7 ;
  • mod_auth_shadow (branche 2.x) versions antérieures à 2.3.

Résumé

Une vulnérabilité dans mod_auth_shadow permet à une personne malintentionnée de contourner la politique de sécurité.

Description

mod_auth_shadow est un module Apache qui permet d'authentifier des utilisateurs en utilisant le fichier /etc/shadow du système. Une vulnérabilité affectant ce module a été découverte, permettant à un utilisateur distant de contourner le module d'authentification.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 22 avril 2010
    version initiale.