08/07/2005 @ 17:21:38: Sécurité - Une petite faille apache pour la fin de semaine?
Une jolie petite faille a été découverte dans Apache 2.x permettant à un utilisateur d'utiliser un serveur quelconque comme un proxy maison.
En effet, en utilisant un header malformé, en utilisant entre autre le Transfer-Encoding et le Content-Length, Apache relançerait la requête et agirait donc comme un proxy public pour l'utilisateur en question. Cela pourrait causer de graves soucis de sécurité avec des abus de sessions, des abus de cross scripting ou tout simplement l'utilisation de votre Apache comme un proxy anonyme.
Une mise à jour, Apache 2.1.6, est déjà disponible pour corriger ce soucis, il ne reste plus qu'à appliquer la rustine et passer un bon week-end!
Ou d'utiliser la série 1.3.x ? :
Hello,
Ca ne touche que les 2.1.x et pas les 2.0.x (cfr last versions and changelogs sur httpd.apache.org). Ce qui fait que ca ne doit pas toucher énormément de serveurs vu que la 2.1.x n'est toujours pas une version de prod
[Edit] PS: La sortie de la 2.1.6 date du 24 juin donc cette faille n'est plus si récente
Dernière édition: 08/07/2005 @ 23:06:09
apn> Ca doit être pour cela qu'ils en parlent aussi ouvertement maintenant
Mais tout le monde n'a pas encore updaté, donc hop zou, au boulot. D'ailleurs les 2.0.x ca doit concerner des mdk qui ont tendance à se fixer à une version et de ne proposer que des patchs après release, sauf si tu passes par le cooker.