S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 08 septembre 2004 No CERTA-2004-AVI-178-006

Affaire suivie par :

CERTA

Objet : Vulnérabilité du module Apache mod_ssl

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

• Exécution de code arbitraire à distance ;
• déni de service.

2 Systèmes affectés

• mod_ssl versions antérieures à 2.8.18.
• Apache 2.0.x.

3 Résumé

4 Description

Par le biais d'un certificat habilement constitué, un utilisateur mal intentionné peut exécuter du code arbitraire à distance sur un serveur apache vulnérable.

Pour que la vulnérabilité puisse être exploitée, deux conditions doivent être réunies :

• l'option FakeBasicAuth est activée ;
• le certificat client est valide (autorité de certification reconnue par le serveur).

5 Solution

• pour Apache 1.3.x :

  http://www.modssl.org/source/mod_ssl-2.8.18-1.3.31.tar.gz
  

• pour Apache 2.0.x :

  http://cvs.apache.org/viewcvs.cgi/httpd-2.0/modules/ssl/ssl_engine_kernel.c?r1=1.105&r2=1.106
  

Pour OpenBSD, appliquer les correctifs :

• Pour OpenBSD 3.5, le correctif est téléchargeable à l'adresse suivante :

  ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.5/common/013_httpd.patch
  

• pour OpenBSD 3.4, le correctif est téléchargeable à l'adresse suivante :

  ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.4/common/025_httpd3.patch
  

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

6 Documentation

• Bulletin de sécurité Mandrake MDKSA-2004:054 du 01 juin 2004 :

  http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:054
  

• Bulletin de sécurité Mandrake MDKSA-2004:055 du 01 juin 2004 :

  http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:055
  

• Bulletin de sécurité RedHat RHSA-2004:245 du 14 juin 2004 :

  http://rhn.redhat.com/errata/RHSA-2004-245.html
  

• Bulletin de sécurité RedHat RHSA-2004:342 du 06 juillet 2004 :

  http://rhn.redhat.com/errata/RHSA-2004-342.html
  

• Bulletin de sécurité Gentoo GLSA 200406-05 du 09 juin 2004 :

  http://www.gentoo.org/security/en/glsa/glsa-200406-05.xml
  

• Bulletin de sécurité OpenBSD du 12 juin 2004 :

  http://www.openbsd.org/errata.html#httpd
  

  http://www.openbsd.org/errata34.html
  

• Mise à jour de sécurité des paquetages NetBSD apache et apache2 :

  ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/www/apache/README.html
  

  ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/www/apache2/README.html
  

• Bulletin de sécurité Apple du 07 septembre 2004 :

  http://docs.info.apple.com/article.html?artnum=61798
  

• Référence CVE CAN-2004-0488 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0488
  

Gestion détaillée du document

02 juin 2004

version initiale.

10 juin 2004

ajout de la référence au bulletin de sécurité Gentoo.

14 juin 2004

ajout de la référence au bulletin de sécurité OpenBSD.

15 juin 2004

ajout de la référence au bulletin de sécurité RedHat.

30 juin 2004

ajout de la référence au bulletin de sécurité NetBSD.

06 juillet 2004

ajout d'une seconde référence au bulletin de sécurité RedHat.

08 septembre 2004

ajout de la référence au bulletin de sécurité Apple.