Vulnérabilité liée à la gestion des cookies
Date : 22 Juin 2005
(CVE : CAN-2003-0513, CAN-2003-0514, CAN-2003-0592, CAN-2003-0593 et CAN-2003-0594)
Les spécifications concernant les "cookies", telles qu'elles sont décrites dans la RFC 2965, définissent un argument "path" afin de restreindre sur un serveur l'accès à des zones (ensemble d'URL prédéfinies) qui seront exposées à ces "cookies".
Une vulnérabilité a été découverte dans plusieurs navigateurs web, parmi lesquels Microsoft Internet Explorer, Apple Safari, KDE Konqueror, Opera et Mozilla. Elle permet à un attaquant distant, en envoyant une URL spécifiquement construite contenant la séquence "%2e%2e" ("point-point encodé") de contourner les restrictions appliquées sur les accès du "cookie" pour une application web donnée.
Les distributions Linux Debian, Linux Mandrake et Linux RedHat ont publié des avis de sécurité concernant cette vulnérabilité sur les navigateurs Konqueror et Mozilla (Cf. la section "Failles n'ayant pas fait l'objet d'avis" du présent bulletin).
Microsoft n'a semble-t'il pas émis d'avis sur ce problème, mais selon Bugtraq, de nombreux disitributeurs auraient corrigé leurs produits de manière silencieuse depuis juillet 2003 (il est recommandé de prendre contact avec les différents éditeurs pour obtenir des informations sur le navigateur concerné).
Pour plus d'information :
- Avis de sécurité de Securiteam : http://www.securiteam.com/securitynews/5JP0C00CBQ.html
- Archive de sécurité de Bugtraq : http://archives.neohapsis.com/archives/vulnwatch/2004-q1/0056.html
- Avis de sécurité d'ISS : http://xforce.iss.net/xforce/xfdb/15424
- RFC 2965 "HTTP State Management Mechanism" : http://www.faqs.org/rfcs/rfc2965.html
- Avis de sécurité de Linux Debian : http://www.debian.org/security/2004/dsa-459
- Avis de sécurité de Linux RedHat :
- https://rhn.redhat.com/errata/RHSA-2004-075.html
- http://www.linuxsecurity.com/advisories/redhat_advisory-4167.html
- https://rhn.redhat.com/errata/RHSA-2004-112.html
- Avis de sécurité de Linux Mandrake :