Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance ;
- contournement de la politique de sécurité.
Systèmes affectés
HP-UX B.11.x exécutant des versions d'Apache-based Web Server antérieures à 2.0.58.01.
Résumé
Plusieurs vulnérabilités concernant Apache sur HP-UX permettraient à un attaquant d'exécuter du code arbitraire à distance, de provoquer un déni de service à distance et/ou de contourner la politique de sécurité.
Description
Plusieurs vulnérabilités sur les versions antérieures à 0.9.7l et 0.9.8d d'OpenSSL permettent à une personne malintentionnée d'exécuter du code arbitraire à distance, de provoquer un déni de service à distance, et/ou de contourner la politique de sécurité.
Ces vulnérabilités d'OpenSSL sont corrigées dans la mise à jour de HP-UX Apache-based Web Server 2.0.58.01. Une mise à jour est également disponible pour le logiciel OpenSSL sur HP-UX sans Apache.
Solution
Se référer aux mises à jour de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Mise à jour d'Apache pour HP-UX du 10 janvier 2007 :
http://h20293.www2.hp.com/cgi-bin/swdepot_parser.cgi/cgi/displayProductInfo.pl?productNumber=HPUXWSSUITE
- Mise à jour d'OpenSSL pour HP-UX :
http://h20293.www2.hp.com/portal/swdepot/displayProductInfo.do?productNumber=OPENSSL11l
- Référence CVE CVE-2006-2940 :
https://www.cve.org/CVERecord?id=CVE-2006-2940
- Référence CVE CVE-2006-2937 :
https://www.cve.org/CVERecord?id=CVE-2006-2937
- Référence CVE CVE-2006-3738 :
https://www.cve.org/CVERecord?id=CVE-2006-3738
- Référence CVE CVE-2006-4343 :
https://www.cve.org/CVERecord?id=CVE-2006-4343
- Référence CVE CVE-2006-4339 :
https://www.cve.org/CVERecord?id=CVE-2006-4339
- Référence CVE CVE-2005-2969 :
https://www.cve.org/CVERecord?id=CVE-2005-2969