Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Apache-SSL Manipulation de Variables d'Environnement Vulnérabilité

03/04/2008 09H58
Référence Secunia : SA29644 
Date de publication : 2008-04-03

Risque : Non Critique. Niveau 2 sur 5.
Impact : Manipulation de données, Exposition de données sensibles
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Apache-SSL 1.3.x

Référence CVE :
CVE-2008-0555


Description :
Alexander Klink a rapporté une vulnérabilité dans Apache-SSL, qui pourrait être exploitée par des personnes malintentionnées pour manipuler certaines données ou pour divulguer des informations sensibles potentielles.

La vulnérabilité est causée du fait d'une erreur dans la fonction "ExpandCert()" lors du traitement des certificats clients. Cela pourrait être exploité pour définir des variables d'environnement arbitraires et divulguer de la mémoire potentiellemet sensible via des caractères '/' et '=' dans le nom distingué relatif.

La vulnérabilité est rapportée dans apache_1.3.34+ssl_1.57. Les autres versions inférieures à apache_1.3.41+ssl_1.59 pourraient aussi être affectées.


Solutions :
Mettre à jour pour apache_1.3.41+ssl_1.59.


Vulnérabilité découverte par :

Alexander Klink, Cynops GmbH

Référence :
http://www.apache-ssl.org/advisory-cve-2008-0555.txt




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.