Objet: Vulnérabilité du module mod_ssl du serveur HTTP Apache

Risque

Contournement de la politique de sécurité.

Systèmes affectés

Module mod_ssl du serveur HTTP Apache versions 2.0.35 à 2.0.52 incluses.

Résumé

Une vulnérabilité du module mod_ssl du serveur HTTP Apache permet à un utilisateur mal intentionné de contourner la politique de sécurité.

Description

Une vulnérabilité a été découverte dans la gestion des paramètres des sessions SSL.

Cette vulnérabilité permet à un utilisateur mal intentionné de contourner la politique de sécurité en se connectant au serveur avec des paramètres uniquement autorisés pour la connexion à l'un des serveurs virtuels.

Pour pouvoir exploiter cette vulnérabilité, le serveur doit être configuré avec la directive SSLCipherSuite.

Solution

Appliquer les correctifs fournis par l'éditeur (cf. section Documentation).

La version 2.0.53-dev corrige cette vulnérabilité.

Documentation

• Site Internet du serveur HTTP Apache :

  http://httpd.apache.org
  

• Bulletin de sécurité d'Apache du 11 octobre 2004 :

  http://www.apacheweek.com/features/security-20
  

• Correctifs fournis par Apache :

  http://nagoya.apache.org/bugzilla/show_bug_cg?id=31505
  

• Référence CVE CAN-2004-0885 :

  https://www.cve.org/CVERecord?id=CAN-2004-0885
  

• Mise à jour de sécurité pour ``VMware ESX Server 2.1.2'' :

  http://www.vmware.com/download/esx/esx212-10921update.html
  

• Mise à jour de sécurité pour ``VMware ESX Server 2.0.1'' :

  http://www.vmware.com/download/esx/esx201-11429update.html
  

• Mise à jour de sécurité pour ``VMware ESX Server 1.5.2'' :

  http://www.vmware.com/download/esx/esx152-10816update.html