S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 19 septembre 2005 No CERTA-2005-AVI-331-001

Affaire suivie par :

CERTA

Objet : Vulnérabilité dans mod_ssl

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

2 Systèmes affectés

3 Description

Une vulnérabilité présente sur ce module permet à un utilisateur mal intentionné d'accèder à des pages Internet non autorisées. Cette vulnérabilité est due à un problème dans la vérification des certificats client.

4 Contournement provisoire

5 Solution

• Site Internet de mod_ssl :

  http://www.modssl.org/
  

• Mise à jour de mod_ssl :

  http://www.modssl.org/source/mod_ssl-2.8.24-1.3.33.tar.gz
  

• Bulletin de sécurité SUSE SuSE-SA:2005:051 du 12 septembre 2005 :

  http://www.novell.com/linux/security/advisories/2005_51_apache2.html
  

• Debian Linux :
  • Bulletin de sécurité Debian DSA-805 du 08 septembre 2005 (apache2) :

    http://www.debian.org/security/2005/dsa-805
    

  • Bulletin de sécurité Debian DSA-807 du 12 septembre 2005 (libapache-mod-ssl) :

    http://www.debian.org/security/2005/dsa-807
    

• Bulletin de sécurité Mandriva MDKSA-2005:161 du 08 septembre 2005 :

  http://www.mandriva.com/security/advisories?name=MDKSA-2005:161
  

• Bulletins de sécurité Red Hat Linux RHSA-2005-773 du 15 septembre 2005 :

  http://rhn.redhat.com/errata/RHSA-2005-773.html
  

• Bulletin de sécurité Gentoo GLSA-200509-12 du 19 septembre 2005 :

  http://www.gentoo.org/security/en/glsa/glsa-200509-12.xml
  

• Référence CVE CAN-2005-2700 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2700
  

6 Documentation

Gestion détaillée du document

05 septembre 2005

version initiale :

19 septembre 2005

ajout des bulletins de sécurité SuSE, RedHat, Mandriva, Gentoo, Debian et de la référence CVE.