CERTA-2005-AVI-331

Vulnerability from certfr_avis - Published: 2005-09-05 - Updated: 2005-09-19

None

Description

mod_ssl est un module pour le serveur web apache destiné à assurer les fonctions de cryptographie de ce serveur.

Une vulnérabilité présente sur ce module permet à un utilisateur mal intentionné d'accèder à des pages Internet non autorisées. Cette vulnérabilité est due à un problème dans la vérification des certificats client.

Contournement provisoire

Mettre à jour le module avec la version 2.8.24.

Solution

  • Site Internet de mod_ssl :

    http://www.modssl.org/

  • Mise à jour de mod_ssl :

    http://www.modssl.org/source/mod_ssl-2.8.24-1.3.33.tar.gz

  • Bulletin de sécurité SUSE SuSE-SA:2005:051 du 12 septembre 2005 :

    http://www.novell.com/linux/security/advisories/2005_51_apache2.html

  • Debian Linux :

    • Bulletin de sécurité Debian DSA-805 du 08 septembre 2005 (apache2) :

      http://www.debian.org/security/2005/dsa-805

    • Bulletin de sécurité Debian DSA-807 du 12 septembre 2005 (libapache-mod-ssl) :

      http://www.debian.org/security/2005/dsa-807

  • Bulletin de sécurité Mandriva MDKSA-2005:161 du 08 septembre 2005 :

    http://www.mandriva.com/security/advisories?name=MDKSA-2005:161

  • Bulletins de sécurité Red Hat Linux RHSA-2005-773 du 15 septembre 2005 :

    http://rhn.redhat.com/errata/RHSA-2005-773.html

  • Bulletin de sécurité Gentoo GLSA-200509-12 du 19 septembre 2005 :

    http://www.gentoo.org/security/en/glsa/glsa-200509-12.xml

  • Référence CVE CAN-2005-2700 :

    https://www.cve.org/CVERecord?id=CAN-2005-2700

mod_ssl versions 2.x antérieures à la version 2.8.4.

Impacted products
Vendor Product Description
References
Site Internet de mod_ssl None vendor-advisory

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cTT\u003emod_ssl\u003c/TT\u003e versions 2.x  ant\u00e9rieures \u00e0 la version 2.8.4.",
  "content": "## Description\n\nmod_ssl est un module pour le serveur web apache destin\u00e9 \u00e0 assurer les\nfonctions de cryptographie de ce serveur.\n\nUne vuln\u00e9rabilit\u00e9 pr\u00e9sente sur ce module permet \u00e0 un utilisateur mal\nintentionn\u00e9 d\u0027acc\u00e8der \u00e0 des pages Internet non autoris\u00e9es. Cette\nvuln\u00e9rabilit\u00e9 est due \u00e0 un probl\u00e8me dans la v\u00e9rification des certificats\nclient.\n\n## Contournement provisoire\n\nMettre \u00e0 jour le module avec la version 2.8.24.\n\n## Solution\n\n-   Site Internet de mod_ssl :\n\n        http://www.modssl.org/\n\n-   Mise \u00e0 jour de mod_ssl :\n\n        http://www.modssl.org/source/mod_ssl-2.8.24-1.3.33.tar.gz\n\n-   Bulletin de s\u00e9curit\u00e9 SUSE SuSE-SA:2005:051 du 12 septembre 2005 :\n\n        http://www.novell.com/linux/security/advisories/2005_51_apache2.html\n\n-   Debian Linux :\n    -   Bulletin de s\u00e9curit\u00e9 Debian DSA-805 du 08 septembre 2005\n        (apache2) :\n\n            http://www.debian.org/security/2005/dsa-805\n\n    -   Bulletin de s\u00e9curit\u00e9 Debian DSA-807 du 12 septembre 2005\n        (libapache-mod-ssl) :\n\n            http://www.debian.org/security/2005/dsa-807\n\n-   Bulletin de s\u00e9curit\u00e9 Mandriva MDKSA-2005:161 du 08 septembre 2005 :\n\n        http://www.mandriva.com/security/advisories?name=MDKSA-2005:161\n\n-   Bulletins de s\u00e9curit\u00e9 Red Hat Linux RHSA-2005-773 du 15 septembre\n    2005 :\n\n        http://rhn.redhat.com/errata/RHSA-2005-773.html\n\n-   Bulletin de s\u00e9curit\u00e9 Gentoo GLSA-200509-12 du 19 septembre 2005 :\n\n        http://www.gentoo.org/security/en/glsa/glsa-200509-12.xml\n\n-   R\u00e9f\u00e9rence CVE CAN-2005-2700 :\n\n        https://www.cve.org/CVERecord?id=CAN-2005-2700\n",
  "cves": [],
  "initial_release_date": "2005-09-05T00:00:00",
  "last_revision_date": "2005-09-19T00:00:00",
  "links": [],
  "reference": "CERTA-2005-AVI-331",
  "revisions": [
    {
      "description": "version initiale :",
      "revision_date": "2005-09-05T00:00:00.000000"
    },
    {
      "description": "ajout des bulletins de s\u00e9curit\u00e9 SuSE, RedHat, Mandriva, Gentoo, Debian et de la r\u00e9f\u00e9rence CVE.",
      "revision_date": "2005-09-19T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Contournement des r\u00e8gles de s\u00e9curit\u00e9"
    }
  ],
  "summary": null,
  "title": "Vuln\u00e9rabilit\u00e9 dans mod_ssl",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Site Internet de mod_ssl",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.