[ddr] webwml:/security/2002/dsa-19[56].wml
Bonjour à tous,
On essaye de ne pas trop prendre de retard avec les DSAs mais c'est dur.
Merci de vos relectures (surtout pour bind), Thomas.
<define-tag description>Plusieurs failles</define-tag>
<define-tag moreinfo>
<p>Selon David Wagner, iDEFENSE et le Projet Apache HTTP Server,
plusieurs failles exploitables à distance ont été trouvées dans le paquet
Apache, un serveur web très répandu. Une grande partie du code est
identique dans les paquets Apache et Apache-PERL. Donc il en est de
même avec les failles.</p>
<p>Ces vulnérabilités permettraient à un
attaquant de mettre hors service le serveur, d'exécuter une attaque
via les scripts utilisés ou bien de voler des témoins
(<i>cookie</i>) des autres utilisateurs du site web.Le projet
<i>Common Vulnerabilities and Exposures</i> (CVE) a identifié
les failles suivantes :</p>
<ol>
<li>CAN-2002-0839 : Une faille existe sur les plates-formes utilisant
les afficheurs basés sur la mémoire partagée à la System V. Cette faille
permet à un attaquant qui peut avoir accès à l'UID d'Apache d'exploiter
le format de cet afficheur et d'envoyer un signal à n'importe quel
processus en tant que <i>root</i> ou de causer un déni de service ;</li>
<li>CAN-2002-0840 : Apache est susceptible d'être vulnérable à une
attaque sur les éléments dynamiques de la page 404 par défaut de n'importe
quel serveur web hébergé par un domaine qui autorise la résolution de DNS
avec des caractères joker ;</li>
<li>CAN-2002-0843 : Il y a quelques débordements de mémoire dans
l'utilitaire ApacheBench (ab) qui pourraient être utilisé par un serveur
malveillant ;</li>
<li>CAN-2002-1233 : Une condition d'exécution dans les programmes
htpasswd et htdigest permet à un utilisateur local de lire voire même
de modifier le contenu d'un fichier de mots de passe ou facilement créer
et écraser des fichiers appartenant à la personne qui fait tourner le
programme htpasswd (ou htdigest respectivement). Cependant, les binaires
de ces programmes ne sont pas inclus dans le paquet apache-perl ;</li>
<li>CAN-2001-0131 : htpasswd et htdigest dans Apache 2.0a9, 1.3.14
et autres permettent aux utilisateurs locaux d'écraser des fichiers de
manière arbitraire par une attaque à base de liens symboliques.Cependant,
les binaires de ces programmes ne sont pas inclus dans le paquet
apache-perl ;</li>
<li>NO-CAN : Plusieurs débordements de tampon ont été trouvé dans
l'utilitaire ApacheBench (ab) qui pourraient être exploités par un serveur
distant en renvoyant des chaînes de caractère très longues. Cependant,
les binaires de ces programmes ne sont pas inclus dans le paquet
apache-perl ;</li>
</ol>
<p>Ces problèmes ont été corrigés dans la version 1.3.26-1-1.26-0woody2
pour l'actuelle distribution stable (<i>Woody</i>), dans
celle 1.3.9-14.1-1.21.20000309-1.1 pour l'ancienne distribution stable
(<i>Potato</i>)stribution (potato) et dans celle 1.3.26-1.1-1.27-3-1
pour la distribution instable (<i>Sid</i>).</p>
<p>Nous recommandons de mettre à jour votre paquet Apache-PERL
immédiatement.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-195.data"
# $Id: dsa-195.wml,v 1.1 2002/11/13 15:34:13 joey Exp $
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
<define-tag description>Plusieurs failles</define-tag>
<define-tag moreinfo>
<p>[Bind version 9, le paquet bind9, n'est pas affecté par ces problèmes.]</p>
<p>ISS X-Force a découvert plusieurs sérieuses vulnérabilités dans le
Serveur de Nom de Domaine Internet de Berkeley (BIND). BIND est l'une des
implémentations les plus communes du protocole DNS (<i>Domain Name
Service</i>), qui est utilisée par une vaste majorité des serveurs DNS
d'Internet. DNS est un protocole vital d'Internet qui maintient une base de
données de noms de domaines faciles à retenir (les noms des machines) et
leur adresse IP numérique respective.</p>
<p>Une preuve indirecte suggère que Internet Software Consortium (ISC),
responsables de BIND, a été prévenu de ces soucis mi-octobre.
Les distributeurs de système d'exploitation Open Source, incluant Debian,
ont été prévenus de ces failles par le CERT a peu près 12 heures avant
la sortie publique des annonces du 12 novembre. Cette notification ne
contenait aucun détail qui nous a permis d'identifier le code vulnérable et
encore moins de préparer à temps un correctif.</p>
<p>Malheureusement, ISS et ISC ont sorti leurs annonces de sécurité avec juste
une description des vulnérabilités, sans rustine. Même s'il n'en existe
aucun signe d'exploitation dans la communauté des pirates ni aucun rapport
indiquant une attaque active, de telles attaques auraient pu être mises
en place pendant tout ce temps - alors qu'il n'y avait pas de correctifs
disponibles.</p>
<p>Nous pouvons tous regretter l'incapacité de l'ironiquement appelé
<i>Internet Software Consortium</i> à travailler avec la communauté Internet
pour gérer ce problème. Heureusement, ceci n'est pas la future manière de
traitement pour les trous de sécurité à venir.</p>
<p>Le projet <i>Common Vulnerabilities and Exposures</i> (CVE) a identifié
les vulnérabilités suivantes :</p>
<ol>
<li>CAN-2002-1219 : Un dépassement de tampon dans BIND 8
versions 8.3.3 et antérieures permet à un attaquant distant
d'exécuter du code arbitraire via une certaine réponse DNS du serveur
contenant des enregistrements de ressources de type SIG. Ce dépassement de
tampon peut être exploité pour obtenir accès à la machine visée sous
l'identité faisant fonctionner BIND, généralement <i>root</i> ;</li>
<li>CAN-2002-1220 : BIND 8 versions 8.3.x jusqu'à 8.3.3
permet à un attaquant distant de causer un déni de service (terminaison due
à une erreur des assertions) via une requête pour un sous-domaine qui
n'existe pas, avec un enregistrement de ressources de type OPT et un paquet
de données UDP chargé ;</li>
<li>CAN-2002-1221 : BIND 8 versions 8.x jusqu'à 8.3.3
permet à un attaquant distant de causer un déni de service (plantage)
via des enregistrements de ressources de type SIG avec un délai
avant expiration invalide, qui sont enlevés de la base de données
interne de BIND et ensuite cause une déréférence vers NULL.</li>
</ol>
<p>Ces problèmes sont corrigés dans la version 8.3.3-2.0woody1 pour
l'actuelle distribution stable (<i>Woody</i>), dans la
version 8.2.3-0.potato.3 pour l'ancienne distribution stable
(<i>Potato</i>) et dans la version 8.3.3-3 pour la distribution
instable (<i>Sid</i>). Les paquets corrigés pour <i>Sid</i> vont entrer
l'archive aujourd'hui.</p>
<p>Nous recommandons de mettre à jour votre paquet bind immédiatement,
de passer à bind9 ou enfin de passer à une autre implémentation de serveur
DNS.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-196.data"
# $Id: dsa-196.wml,v 1.2 2002/11/15 11:46:01 alfie Exp $
#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
Reply to: