CERTA-2001-AVI-131
Vulnerability from certfr_avis - Published: - Updated:
Il existe deux vulnérabilités dans le serveur HTTP Apache, permettant à un utilisateur mal intentionné de récupérer des informations sur le système ou d'écraser des fichiers existants.
Description
La première vulnérabilité concerne le programme split-logfile. Ce programme écrit en Perl sert à traiter les fichiers de logs. Une vulnérabilité de ce programme permet à un utilisateur mal intentionné d'écraser n'importe quel fichier ayant une extension .log.
La deuxième vulnérabilité concerne le module mod_negotiation. Un utilisateur mal intentionné peut, à l'aide d'une URL habilement choisie, contourner le mécanisme de ce module et obtenir des informations sur la structure des fichiers du serveur.
Contournement provisoire
Concernant le programme split-logfile, il faut le désactiver s'il n'est pas utilisé.
Pour se protéger de la vulnérabilité du module mod_negotiation, il faut désactiver les options Indexes et Multiviews.
Solution
Ces vulnérabilités ont été corrigées dans la version 1.3.21.
Serveurs HTTP Apache version 1.3.20 et antérieures.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | |
|---|---|---|---|
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cP\u003eServeurs HTTP Apache version 1.3.20 et ant\u00e9rieures.\u003c/P\u003e",
"content": "## Description\n\nLa premi\u00e8re vuln\u00e9rabilit\u00e9 concerne le programme split-logfile. Ce\nprogramme \u00e9crit en Perl sert \u00e0 traiter les fichiers de logs. Une\nvuln\u00e9rabilit\u00e9 de ce programme permet \u00e0 un utilisateur mal intentionn\u00e9\nd\u0027\u00e9craser n\u0027importe quel fichier ayant une extension .log. \n\nLa deuxi\u00e8me vuln\u00e9rabilit\u00e9 concerne le module mod_negotiation. Un\nutilisateur mal intentionn\u00e9 peut, \u00e0 l\u0027aide d\u0027une URL habilement choisie,\ncontourner le m\u00e9canisme de ce module et obtenir des informations sur la\nstructure des fichiers du serveur.\n\n## Contournement provisoire\n\nConcernant le programme split-logfile, il faut le d\u00e9sactiver s\u0027il n\u0027est\npas utilis\u00e9.\n\nPour se prot\u00e9ger de la vuln\u00e9rabilit\u00e9 du module mod_negotiation, il faut\nd\u00e9sactiver les options Indexes et Multiviews.\n\n## Solution\n\nCes vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 corrig\u00e9es dans la version 1.3.21.\n",
"cves": [],
"links": [
{
"title": "Suivi des \u00e9volutions du serveur HTTP Apache :",
"url": "http://httpd.apache.org/dist/httpd/CHANGES_1.3"
}
],
"reference": "CERTA-2001-AVI-131",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2001-10-26T00:00:00.000000"
}
],
"risks": [
{
"description": "Destruction d\u0027informations"
},
{
"description": "Acc\u00e8s \u00e0 des informations confidentielles"
}
],
"summary": "Il existe deux vuln\u00e9rabilit\u00e9s dans le serveur HTTP Apache, permettant \u00e0\nun utilisateur mal intentionn\u00e9 de r\u00e9cup\u00e9rer des informations sur le\nsyst\u00e8me ou d\u0027\u00e9craser des fichiers existants.\n",
"title": "Vuln\u00e9rabilit\u00e9s du serveur Apache",
"vendor_advisories": []
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.