Avis de sécurité ZHFR-560
| Date de publication: | 12/09/2005 | |
Auteur: Editeur du produit
Vulnérabilité: Erreur de développement
Impact: Contournement de sécurité
D'où: A distance
Risque: 
Moyen
Solution: Correctif
SE: Linux - Unix
Produit: mod_ssl
Versions affectées: 2.xDétails:
Un problème de sécurité a été identifié dans mod_ssl, celui-ci pourrait potentiellement être exploité par des personnes malicieuses afin de contourner certaines restrictions de sécurité.
"SSLVerifyClient require" n'était pas imposé dans le contexte "per-location" si "SSLVerifyClient optional" était configuré dans la configuration globale de l'hôte virtuelle. Cela pourrait être exploité par des personnes malicieuses afin de contourner l'authentification de certificat client et gagner accès à certaines pages web.
Solution:
Mettre à jour vers la version 2.8.24.
http://www.modssl.org/source/mod_ssl-2.8.24-1.3.33.tar.gz
Références:
http://secunia.com/advisories/16700/
http://www.modssl.org/news/
En parler sur le forum...
S'inscrire à la liste de diffusion...
