CERTA-2001-AVI-034
Vulnerability from certfr_avis

Les versions d'apache antérieures à la 1.3.19 installées avec les paramètres par défaut permettent à un utilisateur mal intentionné de d'afficher le contenu de n'importe quel répertoire du serveur sur lequel le logiciel est installé.

Description

Les modules mod_dir, mod_autoindex et mod_negociation du logiciel serveur web apache sont installés par défaut dans les versions antérieures à la 1.3.19.

Ces modules permettent à un utilisateur mal intentionné de lister le contenu du serveur par le biais d'une URL habilement construite.

Contournement provisoire

Désactiver les modules mod_dir, mod_autoindex et mod_negociation d'apache en attendant d'installer la nouvelle version.

Solution

Installer la nouvelle version d'apache (1.3.19) :

http://www.apache.org/dist/binaries/

Indépendamment du système, toutes les versions d'apache antérieures à 1.3.19 sont vulnérables.

Impacted products
Vendor Product Description
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eInd\u00e9pendamment du syst\u00e8me, toutes les versions d\u0027apache  ant\u00e9rieures \u00e0 1.3.19 sont vuln\u00e9rables.\u003c/P\u003e",
  "content": "## Description\n\nLes modules mod_dir, mod_autoindex et mod_negociation du logiciel\nserveur web apache sont install\u00e9s par d\u00e9faut dans les versions\nant\u00e9rieures \u00e0 la 1.3.19.\n\nCes modules permettent \u00e0 un utilisateur mal intentionn\u00e9 de lister le\ncontenu du serveur par le biais d\u0027une URL habilement construite.\n\n## Contournement provisoire\n\nD\u00e9sactiver les modules mod_dir, mod_autoindex et mod_negociation\nd\u0027apache en attendant d\u0027installer la nouvelle version.\n\n## Solution\n\nInstaller la nouvelle version d\u0027apache (1.3.19) :\n\n    http://www.apache.org/dist/binaries/\n",
  "cves": [],
  "initial_release_date": "2001-03-13T00:00:00",
  "last_revision_date": "2001-03-13T00:00:00",
  "links": [
    {
      "title": "Les informations donn\u00e9es sur la nouvelle version d\u0027apache  (1.3.19) :",
      "url": "http://www.apache.org/docs/new_features_1_3.html"
    }
  ],
  "reference": "CERTA-2001-AVI-034",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-03-13T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Acc\u00e8s \u00e0 des donn\u00e9es non autoris\u00e9es"
    }
  ],
  "summary": "Les versions d\u0027apache ant\u00e9rieures \u00e0 la 1.3.19 install\u00e9es avec les\nparam\u00e8tres par d\u00e9faut permettent \u00e0 un utilisateur mal intentionn\u00e9 de\nd\u0027afficher le contenu de n\u0027importe quel r\u00e9pertoire du serveur sur lequel\nle logiciel est install\u00e9.\n",
  "title": "Vuln\u00e9rabilit\u00e9 du serveur web Apache",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Apache",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.