[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[ddr] webwml:/security/2002/dsa-19[56].wml

Bonjour à tous,

On essaye de ne pas trop prendre de retard avec les DSAs mais c'est dur.

Merci de vos relectures (surtout pour bind), Thomas.

<define-tag description>Plusieurs failles</define-tag>
<define-tag moreinfo>
<p>Selon David Wagner, iDEFENSE et le Projet Apache HTTP Server, 
plusieurs failles exploitables à distance ont été trouvées dans le paquet 
Apache, un serveur web très répandu. Une grande partie du code est 
identique dans les paquets Apache et Apache-PERL. Donc il en est de 
même avec les failles.</p>

<p>Ces vulnérabilités permettraient à un 
attaquant de mettre hors service le serveur, d'exécuter une attaque 
via les scripts utilisés ou bien de voler des témoins 
(<i>cookie</i>) des autres utilisateurs du site web.Le projet 
<i>Common Vulnerabilities and Exposures</i> (CVE) a identifié 
les failles suivantes&nbsp;:</p>

<ol>
<li>CAN-2002-0839&nbsp;: Une faille existe sur les plates-formes utilisant
   les afficheurs basés sur la mémoire partagée à la System V. Cette faille 
   permet à un attaquant qui peut avoir accès à l'UID d'Apache d'exploiter 
   le format de cet afficheur et d'envoyer un signal à n'importe quel 
   processus en tant que <i>root</i> ou de causer un déni de service&nbsp;;</li>
   
<li>CAN-2002-0840&nbsp;: Apache est susceptible d'être vulnérable à une 
   attaque sur les éléments dynamiques de la page 404 par défaut de n'importe 
   quel serveur web hébergé par un domaine qui autorise la résolution de DNS 
   avec des caractères joker&nbsp;;</li>

<li>CAN-2002-0843&nbsp;: Il y a quelques débordements de mémoire dans 
   l'utilitaire ApacheBench (ab) qui pourraient être utilisé par un serveur 
   malveillant&nbsp;;</li>

<li>CAN-2002-1233&nbsp;: Une condition d'exécution dans les programmes 
   htpasswd et htdigest permet à un utilisateur local de lire voire même 
   de modifier le contenu d'un fichier de mots de passe ou facilement créer 
   et écraser des fichiers appartenant à la personne qui fait tourner le 
   programme htpasswd (ou htdigest respectivement). Cependant, les binaires 
   de ces programmes ne sont pas inclus dans le paquet apache-perl&nbsp;;</li>

<li>CAN-2001-0131&nbsp;: htpasswd et htdigest dans Apache&nbsp;2.0a9, 1.3.14 
   et autres permettent aux utilisateurs locaux d'écraser des fichiers de 
   manière arbitraire par une attaque à base de liens symboliques.Cependant, 
   les binaires de ces programmes ne sont pas inclus dans le paquet 
   apache-perl&nbsp;;</li>

<li>NO-CAN&nbsp;: Plusieurs débordements de tampon ont été trouvé dans 
   l'utilitaire ApacheBench (ab) qui pourraient être exploités par un serveur 
   distant en renvoyant des chaînes de caractère très longues. Cependant, 
   les binaires de ces programmes ne sont pas inclus dans le paquet 
   apache-perl&nbsp;;</li>
</ol>

<p>Ces problèmes ont été corrigés dans la version&nbsp;1.3.26-1-1.26-0woody2 
pour l'actuelle distribution stable (<i>Woody</i>), dans 
celle&nbsp;1.3.9-14.1-1.21.20000309-1.1  pour l'ancienne distribution stable 
(<i>Potato</i>)stribution (potato) et dans celle&nbsp;1.3.26-1.1-1.27-3-1 
pour la distribution instable (<i>Sid</i>).</p>

<p>Nous recommandons de mettre à jour votre paquet Apache-PERL 
immédiatement.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-195.data"
# $Id: dsa-195.wml,v 1.1 2002/11/13 15:34:13 joey Exp $
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"

<define-tag description>Plusieurs failles</define-tag>
<define-tag moreinfo>
<p>[Bind version 9, le paquet bind9, n'est pas affecté par ces problèmes.]</p>

<p>ISS X-Force a découvert plusieurs sérieuses vulnérabilités dans le 
Serveur de Nom de Domaine Internet de Berkeley (BIND). BIND est l'une des 
implémentations les plus communes du protocole DNS (<i>Domain Name 
Service</i>), qui est utilisée par une vaste majorité des serveurs DNS 
d'Internet. DNS est un protocole vital d'Internet qui maintient une base de 
données de noms de domaines faciles à retenir (les noms des machines) et
leur adresse IP numérique respective.</p>

<p>Une preuve indirecte suggère que Internet Software Consortium (ISC), 
responsables de BIND, a été prévenu de ces soucis mi-octobre.
Les distributeurs de système d'exploitation Open Source, incluant Debian, 
ont été prévenus de ces failles par le CERT a peu près 12 heures avant 
la sortie publique des annonces du 12 novembre. Cette notification ne 
contenait aucun détail qui nous a permis d'identifier le code vulnérable et 
encore moins de préparer à temps un correctif.</p>

<p>Malheureusement, ISS et ISC ont sorti leurs annonces de sécurité avec juste 
une description des vulnérabilités, sans rustine. Même s'il n'en existe 
aucun signe d'exploitation dans la communauté des pirates ni aucun rapport 
indiquant une attaque active, de telles attaques auraient pu être mises 
en place pendant tout ce temps - alors qu'il n'y avait pas de correctifs 
disponibles.</p>

<p>Nous pouvons tous regretter l'incapacité de l'ironiquement appelé 
<i>Internet Software Consortium</i> à travailler avec la communauté Internet 
pour gérer ce problème. Heureusement, ceci n'est pas la future manière de 
traitement pour les trous de sécurité à venir.</p>

<p>Le projet <i>Common Vulnerabilities and Exposures</i> (CVE) a identifié 
les vulnérabilités suivantes&nbsp;:</p>

<ol>
<li>CAN-2002-1219&nbsp;: Un dépassement de tampon dans BIND&nbsp;8 
   versions&nbsp;8.3.3 et antérieures permet à un attaquant distant 
   d'exécuter du code arbitraire via une certaine réponse DNS du serveur 
   contenant des enregistrements de ressources de type SIG. Ce dépassement de 
   tampon peut être exploité pour obtenir accès à la machine visée sous 
   l'identité faisant fonctionner BIND, généralement <i>root</i>&nbsp;;</li>

<li>CAN-2002-1220&nbsp;: BIND&nbsp;8 versions&nbsp;8.3.x jusqu'à 8.3.3 
   permet à un attaquant distant de causer un déni de service (terminaison due 
   à une erreur des assertions) via une requête pour un sous-domaine qui 
   n'existe pas, avec un enregistrement de ressources de type OPT et un paquet 
   de données UDP chargé&nbsp;;</li>

<li>CAN-2002-1221&nbsp;: BIND&nbsp;8 versions&nbsp;8.x jusqu'à 8.3.3 
   permet à un attaquant distant de causer un déni de service (plantage) 
   via des enregistrements de ressources de type SIG avec un délai  
   avant expiration invalide, qui sont enlevés de la base de données 
   interne de BIND et ensuite cause une déréférence vers NULL.</li>
</ol>

<p>Ces problèmes sont corrigés dans la version&nbsp;8.3.3-2.0woody1 pour 
l'actuelle distribution stable (<i>Woody</i>), dans la 
version&nbsp;8.2.3-0.potato.3 pour l'ancienne distribution stable 
(<i>Potato</i>) et dans la version&nbsp;8.3.3-3 pour la distribution
instable (<i>Sid</i>). Les paquets corrigés pour <i>Sid</i> vont entrer 
l'archive aujourd'hui.</p>

<p>Nous recommandons de mettre à jour votre paquet bind immédiatement, 
de passer à bind9 ou enfin de passer à une autre implémentation de serveur 
DNS.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-196.data"
# $Id: dsa-196.wml,v 1.2 2002/11/15 11:46:01 alfie Exp $
#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
Reply to: