Risque
Contournement de la politique de sécurité.
Systèmes affectés
Serveur HTTP Apache 1.3.x sur les plates-formes 64 bits big endian.
Résumé
Une vulnérabilité du serveur HTTP Apache permet à un utilisateur mal intentionné de contourner la politique de sécurité.
Description
Le module mod_access du serveur HTTP Apache présente une vulnérabilité dans le traitement des règles Allow / Deny qui utilisent des adresses IP sans masque de réseau.
Cette vulnérabilité peut être exploitée par un utilisateur mal intentionné pour contourner des règles de sécurité.
Solution
Appliquer le correctif fournit par votre éditeur.
La version 1.3.30 d'Apache corrigera cette vulnérabilité. En attendant la sortie de cette version, appliquer le correctif disponible à l'adresse suivante :
http://cvs.apache.org/viewcvs.cgi/apache-1.3/src/modules/standard/mod_access.c?r1=1.46&r2=1.47
Documentation
- Bug du serveur HTTP Apache #23850 :
http://nagoya.apache.org/bugzilla/show_bug.cgi?id=23850
- Avis de sécurité Mandrake MDKSA-2004:046 :
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:046
- Avis de sécurité OpenBSD #014 du 13 mars 2004 :
http://www.openbsd.org/errata.html
- Avis de sécurité FreeBSD du 08 mars 2004 :
http://www.vuxml.org/freebsd/
- Référence CVE CAN-2003-0993 :
https://www.cve.org/CVERecord?id=CAN-2003-0993