[ddr] webwml:/security/2002/dsa-181.wml
Bonjour à tous,
Voici la dernière dsa. Merci à Jean-Philippe qui m'a bien aidé dessus.
Merci de vos relectures, Thomas.
<define-tag description>Trou de sécurité sur les éléments dynamiques</define-tag>
<define-tag moreinfo>
<p>Joe Orton a découvert un problème de sécurité sur les éléments dynamiques
dans <i>mod_ssl</i>, un module d'Apache qui ajoute une cryptographie forte
(c'est-à-dire le service HTTPS) au serveur web. Ce module retourne comme
réponse le nom du serveur sans échappement dans une requête HTTP
sur le port SSL.</p>
<p>Comme les autres bogues de type <i>cross site scripting</i> récents
d'Apache, celui-ci n'affecte que les serveurs utilisant une combinaison de
« UseCanonicalName off » (ce qui est par défaut dans le
paquet Debian d'Apache) et des méta-enregistrements (<i>wildcards</i>) DNS.
Ce mélange est peu probable tout de même. Apache 2.0/mod_ssl n'est pas
vulnérable vu qu'il échappe le HTML.</p>
<p>Avec ce paramètre activé, quelque soit le moment où Apache a besoin de
construire une URL s'auto-référençant (une URL qui fait appel au serveur dont
vient la réponse), il utilisera le <i>ServerName</i> et le <i>Port</i>
pour générer le nom « canonique ». Sans ce paramètre, Apache
utilisera la chaîne de caractères <i>hostname:port</i> que le client fournit,
quand cela est possible. Ceci affecte aussi SERVER_NAME et SERVER_PORT dans
les scripts CGI.</p>
<p>Ce problème est corrigé dans la version 2.8.9-2.1 pour l'actuelle
distribution stable (<i>Woody</i>), dans la version 2.4.10-1.3.9-1potato4
pour l'ancienne distribution stable (<i>Potato</i>) et dans la
version 2.8.9-2.3 pour la distribution instable (<i>Sid</i>).</p>
<p>Nous vous recommandons de mettre à jour votre paquet libapache-mod-ssl.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-181.data"
# $Id: dsa-181.wml,v 1.1 2002/10/22 14:49:37 joey Exp $
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
Reply to: