|
|
SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection
Apache mod_alias URL Validation Canonicalization Vulnérabilité
11/08/2006 12H54
Référence Secunia : SA21490
Risque : Relativement faible. Niveau 2 sur 5. 
Impact : Contournement de la Sécurité, Exposition de données sensibles
Lieu : A distance
Solutions :
Non corrigée
Produit :
Apache 2.0.x
Apache 2.2.x
Description :
Susam Pal a découvert une vulnérabilité dans Apache, qui pourrait être exploitée par des personnes malintentionnées pour passer outre certaines restrictions de sécurité et divulguer potentiellement des informations sensibles.
La vulnérabilité est causée du fait que an canonicalization error dans le module "mod_alias" dans l'interprétation de case-sensitive alias directive arguments on file systèmes supporting case-insensitive noms de répertoire. Cela peut par ex. être exploité afin de divulguer le code source de applications placed dans le "cgi-bin" directory on certain non-default configurations où the ScriptAlias directive references un répertoire dans le document root en accèdant une URL avec a capital nom de répertoire (par ex. "CGI-BIN").
Example of a vulnérable configuration:
DocumentRoot "[path]/docroot/"
ScriptAlias /cgi-bin/ "/[path]/docroot/cgi-bin"
NOTE : Cela affecte seulement the Microsoft Windows platform.
La vulnérabilité a été confirmée en versions 2.0.59 et 2.2.3, et a également été rapporté en version 2.2.2. Les autres versions pourraient également être affectées.
Solutions :
Editer la configuration pour s'assurer que alias directives (par ex. ScriptAlias) references répertoires en dehors du document root.
Vulnérabilité découverte par :
Susam Pal, Infosys Technologies Ltd.
Veuillez noter : L'information, sur laquelle est basé ce bulletin Secunia, provient d'un tiers sans mention du contraire.
Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.
Derniers bulletins de sécurité informatique
Bulletins de sécurité informatiques relatifs
|
|
|
SECURINFOS