jeudi 18 mars
Accueil :: Dépêches :: Entretiens :: Journaux :: Forums :: Sondages :: Suivi :: Statistiques :: Contact :: Plan

Liens connexes

Dépêche modérée par

: Nouvelles vulnérabilités pour Apache 1.3.28 / 2.0.47 et mod_security 1.7.1

Posté par BillyTheKid (). Modéré le 03 novembre 2003.
0
Une vulnérabilité de type buffer overflow a été identifiée dans Apache. Le problème se situe dans les modules « mod_alias » et « mod_rewrite », l'exploitation nécessite un fichier .htaccess spécifique. Dans Apache 2 le socket AF_UNIX utilisé par « mod_cgid » afin de communiquer avec le daemon cgid ou des scripts CGI n'est pas correctement manipulé.

mod_security (Apache 2) est touché quant à lui par une vulnérabilité locale. Cette faille est causée par une erreur dans la manipulation des données générées par le serveur, ce qui pourrait être exploité via des fichiers PHP/CGI spécifiques afin d'exécuter des commandes avec les privilèges du serveur httpd.

> Lire les commentaires (10 commentaires, moyenne: 3,4).  

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

Re: Nouvelles vulnérabilités pour Apache 1.3.28 / 2.0.47 et mod_security 1.7.1

Posté par paparoot () le 03/11/2003 à 23:18. (lien). Évalué à 4.

"afin d'exécuter des commandes avec les privilèges du serveur httpd."

J'espère qu'il n'y a pas des tanches pr executer apache avec le root comme user ...

Re: Nouvelles vulnérabilités pour Apache 1.3.28 / 2.0.47 et mod_security 1.7.1

Posté par _kd () le 03/11/2003 à 23:41. (lien). Évalué à 5.

a bin je suis déjà passé en 2.0.48 :)

et d'ailleurs, j'ai de toute façon désactivé tous les modules, parce que c'est plus sûr et je n'en ai pas l'usage.
Je n'ai gardé que les 3 nécessaires :
* mod_access,
* mod_log_config,
* mod_mime.
J'ai dû rajouté mod_headers aussi pour faire marcher PHP.

Enfin moins on fait marcher de trucs inutiles, moins il y a de risque, on ne le répètera jamais assez :)

Concernant Apache

Posté par FRLinux (page perso, ) le 04/11/2003 à 09:09. (lien). Évalué à 6.

C'est pendant que j'avalais gentillement mon double espresso que j'ai faillit avoir une attaque cardiaque, mais apres une verification rapide, les failles apache sont celles recensees le 29/10/2003 (donc j'ai deja patche mes serveurs dont une partie tourne en FreeBSD).

Toute cette tranche de ma_vie pour preciser qu'il aurait ete judicieux de preciser que les failles apache sont locales :
http://www.secunia.com/advisories/10096/(...)

Steph

Nouvelle version 4.3.4 de PHP

Posté par a_jr () le 04/11/2003 à 10:28. (lien). Évalué à 2.

Nouvelle version d'apache, et aussi nouvelle version de PHP hier, le 3 novembre :)

http://www.php.net/ChangeLog-4.php#4.3.4(...)

(l'url de telechargement, tout le monde sait la trouver. Mais moins de gens vont voir le changelog. Verifiez le changelog, amis cliqueurs, l'url est ci-dessus ! )

Le bonjour chez vous,
Yves

Re: Nouvelles vulnérabilités pour Apache 1.3.28 / 2.0.47 et mod_security 1.7.1

Posté par Encolpe DEGOUTE (page perso, ) le 04/11/2003 à 14:11. (lien). Évalué à 0.

Combien y aurait-il de buffer overflow en moins si toutes les applications étaient développées en C++?

Revenir en haut de page

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.0839s (dont 0.01 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !