Risque
Exécution de code arbitraire à distance.
Systèmes affectés
- Versions du module mod_ssl antérieures à la version 2.8.7-1.3.23;
- versions de Apache-ssl antérieures à la version 1.3.22-1.47.
Résumé
Une vulnérabilité de type « débordement de mémoire » présente dans le module mod_ssl et apache-ssl permet à un utilisateur mal intentionné l'exécution de code arbitraire à distance.
Description
SSL permet l'utilisation de connexions sécurisées sur des serveurs web (https://) ou autres serveurs sécurisés (ftps://).Une vulnérabilité de type « débordement de mémoire » à été découverte dans le mécanisme de gestion de cache de sessions.
Cette vulnérabilité permet à un utilisateur mal intentionné de réaliser l'exécution de code arbitraire à distance.
Contournement provisoire
Désactiver le paramètre -DSSL dans le script httpd en attendant d'appliquer les correctifs.
Solution
Installer les correctifs disponibles sur
http://www.apache-ssl.org/et sur
http://www.modssl.org/
Documentation
- Message de Ed Moyle sur la liste de diffusion BugTraq
http://online.securityfocus.com/archive/1/258646
- Avis de sécurité Apache-SSL
http://www.apache-ssl.org/advisory-20020301.txt
- Avis de sécurité ESA-20020301-005 de EnGarde Secure Linux
http://www.engardelinux.org/
- Avis de sécurité 2002-0034 de Trustix Secure Linux
http://www.trustix.net/pub/Trustix/updates/
