CERTA-2001-AVI-131
Vulnerability from certfr_avis
Il existe deux vulnérabilités dans le serveur HTTP Apache, permettant à un utilisateur mal intentionné de récupérer des informations sur le système ou d'écraser des fichiers existants.
Description
La première vulnérabilité concerne le programme split-logfile. Ce programme écrit en Perl sert à traiter les fichiers de logs. Une vulnérabilité de ce programme permet à un utilisateur mal intentionné d'écraser n'importe quel fichier ayant une extension .log.
La deuxième vulnérabilité concerne le module mod_negotiation. Un utilisateur mal intentionné peut, à l'aide d'une URL habilement choisie, contourner le mécanisme de ce module et obtenir des informations sur la structure des fichiers du serveur.
Contournement provisoire
Concernant le programme split-logfile, il faut le désactiver s'il n'est pas utilisé.
Pour se protéger de la vulnérabilité du module mod_negotiation, il faut désactiver les options Indexes et Multiviews.
Solution
Ces vulnérabilités ont été corrigées dans la version 1.3.21.
Serveurs HTTP Apache version 1.3.20 et antérieures.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | |
|---|---|---|---|
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cP\u003eServeurs HTTP Apache version 1.3.20 et ant\u00e9rieures.\u003c/P\u003e",
"content": "## Description\n\nLa premi\u00e8re vuln\u00e9rabilit\u00e9 concerne le programme split-logfile. Ce\nprogramme \u00e9crit en Perl sert \u00e0 traiter les fichiers de logs. Une\nvuln\u00e9rabilit\u00e9 de ce programme permet \u00e0 un utilisateur mal intentionn\u00e9\nd\u0027\u00e9craser n\u0027importe quel fichier ayant une extension .log. \n\nLa deuxi\u00e8me vuln\u00e9rabilit\u00e9 concerne le module mod_negotiation. Un\nutilisateur mal intentionn\u00e9 peut, \u00e0 l\u0027aide d\u0027une URL habilement choisie,\ncontourner le m\u00e9canisme de ce module et obtenir des informations sur la\nstructure des fichiers du serveur.\n\n## Contournement provisoire\n\nConcernant le programme split-logfile, il faut le d\u00e9sactiver s\u0027il n\u0027est\npas utilis\u00e9.\n\nPour se prot\u00e9ger de la vuln\u00e9rabilit\u00e9 du module mod_negotiation, il faut\nd\u00e9sactiver les options Indexes et Multiviews.\n\n## Solution\n\nCes vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 corrig\u00e9es dans la version 1.3.21.\n",
"cves": [],
"initial_release_date": "2001-10-26T00:00:00",
"last_revision_date": "2001-10-26T00:00:00",
"links": [
{
"title": "Suivi des \u00e9volutions du serveur HTTP Apache :",
"url": "http://httpd.apache.org/dist/httpd/CHANGES_1.3"
}
],
"reference": "CERTA-2001-AVI-131",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2001-10-26T00:00:00.000000"
}
],
"risks": [
{
"description": "Destruction d\u0027informations"
},
{
"description": "Acc\u00e8s \u00e0 des informations confidentielles"
}
],
"summary": "Il existe deux vuln\u00e9rabilit\u00e9s dans le serveur HTTP Apache, permettant \u00e0\nun utilisateur mal intentionn\u00e9 de r\u00e9cup\u00e9rer des informations sur le\nsyst\u00e8me ou d\u0027\u00e9craser des fichiers existants.\n",
"title": "Vuln\u00e9rabilit\u00e9s du serveur Apache",
"vendor_advisories": []
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
- Confirmed: The vulnerability is confirmed from an analyst perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
- Patched: This vulnerability was successfully patched by the user reporting the sighting.
- Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
- Not confirmed: The user expresses doubt about the veracity of the vulnerability.
- Not patched: This vulnerability was not successfully patched by the user reporting the sighting.