Accueil Programmes Gestion des urgences Intervention CCRIC Diffusions analytiques2 AV06-044 : Sun publie des correctifs de sécurité pour traiter de multiples vulnérabilités d’Apache 1.3 pour Solaris

Sun publie des correctifs de sécurité pour traiter de multiples vulnérabilités d’Apache 1.3 pour Solaris

Numéro : AV06-044
Date : 12 octobre 2006

Objet

Le présent avis a pour objet d’attirer votre attention sur les correctifs de sécurité récents publiés par Sun pour résoudre le problème de multiples vulnérabilités d’Apache 1.3 pour Solaris.

Évaluation

Le correctif de sécurité résoudra deux vulnérabilités des versions 8, 9 et 10 d’Apache 1.3 pour Solaris :

La première, une vulnérabilité du module mod_rewrite d’Apache HTTP server (CVE-2006-3747), permettrait à un utilisateur local ou à distance qui n’a pas les droits requis d’exécuter du code arbitraire avec les droits du processus Apache 1.3 ou de provoquer une attaque de déni de service (DoS) visant le processus Apache HTTP. Le processus Apache est habituellement exécuté comme utilisateur sans droits « nobody » (uid 60001).

Réf. : http://www.frsirt.com/french/advisories/2006/3017

Versions touchées d’Apache :

• Apache versions 1.3.28 à 1.3.36
• Apache versions 2.0.46 à 2.0.58
• Apache versions 2.2.0 à 2.2.2

Le second problème, une vulnérabilité à l’exécution de scripts entre sites (CSS ou XSS) du module mod_imap d’Apache HTTP server (CVE-2005-3352), permettrait à un utilisateur local ou à distance qui n’a pas les droits requis de voler l’information des cookies, de détourner des sessions ou de provoquer une perte de confidentialité entre un client et un serveur.

Réf. : http://www.frsirt.com/french/advisories/2005/2870

Versions touchées d’Apache :

• Apache versions 1.3.0 à 1.3.34
• Apache versions 2.0.35 à 2.0.55

Mesure proposeée

SPPCC recommande aux administrateurs de tester et d’installer la mise à jour à la première occasion.

Plate-forme SPARC : Solaris 10 avec correctif 122911-02 ou plus récent

http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-122911-02-1

Plate-forme x86 : Solaris 10 avec correctif 122912-02 ou plus récent

http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-122912-02-1

Avis aux lecteurs

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) recueille des renseignements concernant les menaces et les incidents cybernétiques contre les infrastructures essentielles du Canada. Cela nous permet de surveiller et d'analyser les menaces, de même que de diffuser des alertes, des avis de sécurité et d'autres produits d'information. Pour signaler des menaces ou des incidents, veuillez communiquer avec le Centre des opérations du gouvernement (COG) au 613-991-7000 ou à l'adresse cog-goc@sppcc.gc.ca.

L'utilisation non autorisée de systèmes informatiques et les méfaits en matière de données constituent de graves infractions au Code criminel canadien. Toute activité criminelle présumée doit être signalée aux autorités policières locales. Le Centre national des opérations (CNO) de la Gendarmerie royale du Canada (GRC) reçoit de tels rapports 24 heures sur 24 et 7 jours sur 7 ou réachemine les appels aux autorités policières locales. On peut rejoindre le CNO au 613-993-4460. Les préoccupations liées à la sécurité nationale doivent être transmises au Service canadien du renseignement de sécurité (SCRS) au 613-993-9620.

En cas de questions urgentes, ou pour signaler des incidents, veuillez communiquer avec le Centre des opérations du gouvernement au:

Téléphone : 613-991-7000
Télécopieur : 613-996-0995
Télécopieur sécuritaire : 613-991-7094
Courriel : goc-cog@sppcc.gc.ca

Pour des renseignements généraux sur la protection des infrastructures essentielles et la protection civile, veuillez communiquer avec la direction des Affaires publiques du SPPCC:

Téléphone : 613-944-4875 ou 1-800-830-3118
Télécopieur : 613-998-9589
Courriel : communications@sppcc.gc.ca