Risque

  • Contournement de la politique de sécurité ;
  • atteinte à l'intégrité des données ;
  • atteinte à la confidentialité des données.

Systèmes affectés

  • mod_auth_shadow (branche 1.x) versions antérieures à 1.7 ;
  • mod_auth_shadow (branche 2.x) versions antérieures à 2.3.

Résumé

Une vulnérabilité dans mod_auth_shadow permet à une personne malintentionnée de contourner la politique de sécurité.

Description

mod_auth_shadow est un module Apache qui permet d'authentifier des utilisateurs en utilisant le fichier /etc/shadow du système. Une vulnérabilité affectant ce module a été découverte, permettant à un utilisateur distant de contourner le module d'authentification.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation