Vous êtes sur le site public du Cert-IST

Alerte orange CERT-IST/AL-2020.008 : Attaques visant F5 BIG-IP

Vulnérabilité liée à la gestion des cookies

Date :22 Juin 2005

Publication: Article

(CVE : CAN-2003-0513, CAN-2003-0514, CAN-2003-0592, CAN-2003-0593 et CAN-2003-0594)

Les spécifications concernant les "cookies", telles qu'elles sont décrites dans la RFC 2965, définissent un argument "path" afin de restreindre sur un serveur l'accès à des zones (ensemble d'URL prédéfinies) qui seront exposées à ces "cookies".

Une vulnérabilité a été découverte dans plusieurs navigateurs web, parmi lesquels Microsoft Internet Explorer, Apple Safari, KDE Konqueror, Opera et Mozilla. Elle permet à un attaquant distant, en envoyant une URL spécifiquement construite contenant la séquence "%2e%2e" ("point-point encodé") de contourner les restrictions appliquées sur les accès du "cookie" pour une application web donnée.

Les distributions Linux Debian, Linux Mandrake et Linux RedHat ont publié des avis de sécurité concernant cette vulnérabilité sur les navigateurs Konqueror et Mozilla (Cf. la section "Failles n'ayant pas fait l'objet d'avis" du présent bulletin).

Microsoft n'a semble-t'il pas émis d'avis sur ce problème, mais selon Bugtraq, de nombreux disitributeurs auraient corrigé leurs produits de manière silencieuse depuis juillet 2003 (il est recommandé de prendre contact avec les différents éditeurs pour obtenir des informations sur le navigateur concerné).

 

Pour plus d'information :