Salut, Une annonce de sécurité a été publiée, par avance merci pour vos relectures. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans le serveur HTTP Apache. </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3607";>CVE-2011-3607</a> : <p> Un dépassement d'entier dans ap_pregsub() pourrait permettre aux attaquants locaux d'exécuter du code arbitraire avec des droits élevés à l'aide de fichiers .htaccess contrefaits. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3368";>CVE-2011-3368</a> <a href="http://security-tracker.debian.org/tracker/CVE-2011-3639";>CVE-2011-3639</a> <a href="http://security-tracker.debian.org/tracker/CVE-2011-4317";>CVE-2011-4317</a> : <p> Le serveur HTTP Apache ne validait pas correctement les URI de requête pour les requêtes venant de serveur mandataire (<q>proxy</q>). Dans certaines configurations de serveur mandataire inversé utilisant la directive ProxyPassMatch ou la directive RewriteRule avec l'option [P], un attaquant distant pourrait forcer le serveur mandataire à se connecter à un serveur arbitraire. Cela pourrait permettre à l'attaquant d'accéder aux serveurs internes qui ne sont pas normalement accessibles depuis l'extérieur. </p> <p> Les trois identifiants de CVE indiquent des variantes légèrement différentes du même problème. </p> <p> Remarquez que, même une fois ce problème corrigé, il est de la responsabilité de l'administrateur de s'assurer que l'expression rationnelle de motif de remplacement pour l'URI cible ne permet pas à un client d'ajouter des chaînes arbitraires aux parties de l'hôte ou du port de l'URI cible. Par exemple la configuration <pre> ProxyPassMatch ^/mail(.*)http://internal-host$1 </pre> <p> est toujours non sécurisée et devrait être remplacée par l'une des configurations suivantes : </p> <pre> ProxyPassMatch ^/mail(/.*)http://internal-host$1 ProxyPassMatch ^/mail/(.*)http://internal-host/$1 </pre> </li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-0031";>CVE-2012-0031</a> : <p> Un processus fils apache2 pourrait forcer le processus parent à planter lors de l'extinction. C'est une violation de la sépartation des droits entre les processus apache2 et pourrait éventuellement être utilisé pour empirer l'impact d'autres vulnérabilités. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-0053";>CVE-2012-0053</a> : <p> Le message de réponse du code d'erreur 400 (mauvaise requête) pourrait être utilisé pour exposer les cookies <q>httpOnly</q>. Cela pourrait permettre à un attaquant distant utilisant un script intersite de voler les cookies d'authentification. </p></li> </ul> <p>Pour la distribution oldstable (Lenny), ces problèmes ont été corrigés dans la version 2.2.9-10+lenny12 d'apache2.</p> <p>Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 2.2.16-6+squeeze6 d'apache2.</p> <p>Pour la distribution testing (Wheezy), ces problèmes seront corrigés dans la version 2.2.22-1.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.2.22-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets apache2.</p> <p> Cette mise à jour contient également des paquets apache2-mpm-itk mis à jour qui ont été recompilés en cohérence avec les paquets apache2 mis à jour. Le nouveau numéro de version pour la distribution oldstable est 2.2.6-02-1+lenny7. Pour la distribution stable, apache2-mpm-itk a le même numéro de version qu'apache2. </p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2012/dsa-2405.data" # $Id: dsa-2405.wml,v 1.1 2012-02-06 16:39:55 taffit Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature