USN-860-1 : Vulnérabilités dans Apache
Un problème de sécurité affecte les versions suivantes de Ubuntu :
Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10
Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.
Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :
| Ubuntu 6.06 LTS : | |||
| apache2-common | 2.0.55-4ubuntu2.9 | ||
| Ubuntu 8.04 LTS : | |||
| apache2.2-common | 2.2.8-1ubuntu0.14 | ||
| Ubuntu 8.10 : | |||
| apache2.2-common | 2.2.9-7ubuntu3.5 | ||
| Ubuntu 9.04 : | |||
| apache2.2-common | 2.2.11-2ubuntu2.5 | ||
| Ubuntu 9.10 : | |||
| apache2.2-common | 2.2.12-1ubuntu2.1 | ||
En général une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.
Détails :
Marsh Ray et Steve Dispensa ont découvert une faille dans les protocoles TLS et SSLv3. Si un attaquant pouvait faire une attaque de l’homme du milieu au démarrage d’une connexion TLS, il pourrait injecter un contenu arbitraire au début de la session utilisateur. La faille concerne la renégotiation TLS et affecte potentiellement tout logiciel prenant cette fonctionnalité en charge. Les attaques contre le protocole HTTPS sont connues, et l’importance du problème dépend des mesures de prévention utilisées dans l’application Web. Jusqu’à ce que le protocole TLS et les librairies sous-jacentes soient corrigées pour protéger contre cette vulnérabilité, une solution partielle et temporaire a été mise en place dans Apache pour désactiver la renégotiation TLS initiée par le client. Cette mise à jour ne protège pas contre le renégotiation TLS initiée par le serveur lors de l’utilisation de SSLVerifyClient et de SSLCipherSuite à partir d’un répertoire ou d’un emplacement donné. Les utilisateurs peuvent se défendre contre une renégatiation TLS initiée par le serveur en ajustant leur configuration Apache pour utiliser SSLVerifyClient et SSLCipherSuite au niveau du serveur ou d’un hôte virtuel. (CVE-2009-3555)
Il a été découvert que mod_proxy_ftp dans Apache ne nettoyait pas correctement son flux d’entrée lors du traitement de réponses à des commandes EPASV et PASV. Un attaquant pourrait utiliser ceci pour causer un déni de service dans le processus fils de Apache. (CVE-2009-3094)
Une autre faille a été découverte dans mod_proxy_ftp. Si Apache est configuré en tant que serveur mandataire inverse, un attaquant pourrait envoyer un en-tête HTTP pour contourner les contrôles d’accès et envoyer des commandes arbitraires au serveur FTP. (CVE-2009-3095)
Source : USN-860-1: Apache vulnerabilities
