Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2202-1 apache2

Bulletin d'alerte Debian

DSA-2202-1 apache2 -- Échec d'abandon des droits du superutilisateur

Date du rapport :

23 mars 2011

Paquets concernés :

apache2

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 618857.
Dans le dictionnaire CVE du Mitre : CVE-2011-1176.

Plus de précisions :

MPM_ITK est une alternative au module Multi-Processing d'Apache HTTPD qui est inclus dans le paquet Debian apache2.

Un défaut d'analyse de configuration a été découvert dans MPM_ITK. Si la directive de configuration NiceValue était configurée, mais qu'aucune directive AssignUserID n'était précisée, les requêtes seraient traitées par l'utilisateur et le groupe root au lieu de l'utilisateur et du groupe Apache par défaut.

Ce problème ne concerne pas les MPM prefork, worker et event d'Apache HTTPD.

La distribution oldstable (Lenny) n'est pas concernée par ce problème.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.2.16-6+squeeze1.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 2.2.17-2.

Si vous utilisez apache2-mpm-itk, nous vous recommandons de mettre à jour vos paquets.