CERTA-2001-AVI-034

Vulnerability from certfr_avis - Published: - Updated:

Les versions d'apache antérieures à la 1.3.19 installées avec les paramètres par défaut permettent à un utilisateur mal intentionné de d'afficher le contenu de n'importe quel répertoire du serveur sur lequel le logiciel est installé.

Description

Les modules mod_dir, mod_autoindex et mod_negociation du logiciel serveur web apache sont installés par défaut dans les versions antérieures à la 1.3.19.

Ces modules permettent à un utilisateur mal intentionné de lister le contenu du serveur par le biais d'une URL habilement construite.

Contournement provisoire

Désactiver les modules mod_dir, mod_autoindex et mod_negociation d'apache en attendant d'installer la nouvelle version.

Solution

Installer la nouvelle version d'apache (1.3.19) :

http://www.apache.org/dist/binaries/

Indépendamment du système, toutes les versions d'apache antérieures à 1.3.19 sont vulnérables.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eInd\u00e9pendamment du syst\u00e8me, toutes les versions d\u0027apache  ant\u00e9rieures \u00e0 1.3.19 sont vuln\u00e9rables.\u003c/P\u003e",
  "content": "## Description\n\nLes modules mod_dir, mod_autoindex et mod_negociation du logiciel\nserveur web apache sont install\u00e9s par d\u00e9faut dans les versions\nant\u00e9rieures \u00e0 la 1.3.19.\n\nCes modules permettent \u00e0 un utilisateur mal intentionn\u00e9 de lister le\ncontenu du serveur par le biais d\u0027une URL habilement construite.\n\n## Contournement provisoire\n\nD\u00e9sactiver les modules mod_dir, mod_autoindex et mod_negociation\nd\u0027apache en attendant d\u0027installer la nouvelle version.\n\n## Solution\n\nInstaller la nouvelle version d\u0027apache (1.3.19) :\n\n    http://www.apache.org/dist/binaries/\n",
  "cves": [],
  "links": [
    {
      "title": "Les informations donn\u00e9es sur la nouvelle version d\u0027apache  (1.3.19) :",
      "url": "http://www.apache.org/docs/new_features_1_3.html"
    }
  ],
  "reference": "CERTA-2001-AVI-034",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-03-13T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Acc\u00e8s \u00e0 des donn\u00e9es non autoris\u00e9es"
    }
  ],
  "summary": "Les versions d\u0027apache ant\u00e9rieures \u00e0 la 1.3.19 install\u00e9es avec les\nparam\u00e8tres par d\u00e9faut permettent \u00e0 un utilisateur mal intentionn\u00e9 de\nd\u0027afficher le contenu de n\u0027importe quel r\u00e9pertoire du serveur sur lequel\nle logiciel est install\u00e9.\n",
  "title": "Vuln\u00e9rabilit\u00e9 du serveur web Apache",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Apache",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.