L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Apache HttpClient

avis de vulnérabilité 13544

HttpClient : man in the middle SSL

Synthèse de la vulnérabilité

Un attaquant peut se placer en Man in the middle dans une session SSL/TLS de HttpClient, afin d'intercepter des informations sensibles.
Produits concernés : Apache HttpClient.
Gravité : 2/4.
Date création : 08/10/2013.
Références : VIGILANCE-VUL-13544.

Description de la vulnérabilité

Une instance de HttpClient peut utiliser l'interface X509HostnameVerifier pour définir des méthodes de vérification du nom de domaine associé à un serveur SSL/TLS.

Cependant, en version 4.3, si l'utilisateur n'a pas défini ses propres méthodes, HttpClient ne vérifie pas le nom de domaine.

Cette vulnérabilité est similaire à VIGILANCE-VUL-12182.

Un attaquant peut donc se placer en Man in the middle dans une session SSL/TLS de HttpClient, afin d'intercepter des informations sensibles.
Bulletin Vigil@nce complet.... (essai gratuit)

alerte de vulnérabilité informatique 12326

Apache HttpClient : injection de paramètres avec addRequestHeader

Synthèse de la vulnérabilité

Lorsqu'un attaquant peut contrôler le paramètre de la méthode addRequestHeader() de Apache HttpClient, il peut injecter des paramètres HTTP additionnels.
Produits concernés : Apache HttpClient.
Gravité : 1/4.
Date création : 11/01/2013.
Références : VIGILANCE-VUL-12326.

Description de la vulnérabilité

Le protocole HTTP utilise des entêtes texte séparés par des sauts de ligne. Par exemple :
  GET / HTTP/1.0
  Host: www.exemple.com
  etc.

La méthode addRequestHeader() de Apache HttpClient permet d'ajouter un entête HTTP à une requête. Cependant, cette fonction n'interdit pas les sauts de ligne. Un attaquant peut ainsi l'employer pour ajouter plusieurs entêtes HTTP en une seule fois.

Lorsqu'un attaquant peut contrôler le paramètre de la méthode addRequestHeader() de Apache HttpClient, il peut donc injecter des paramètres HTTP additionnels.
Bulletin Vigil@nce complet.... (essai gratuit)

annonce de vulnérabilité CVE-2012-5783

Apache HttpClient 3 : validation incomplète de certificat

Synthèse de la vulnérabilité

Un attaquant peut placer un certificat valide sur un serveur illicite, puis inviter un client Apache HttpClient 3 à s'y connecter, afin d'intercepter des communications malgré l'utilisation du chiffrement.
Produits concernés : Apache HttpClient, Fedora, openSUSE, RHEL, Red Hat JBoss EAP.
Gravité : 2/4.
Date création : 23/11/2012.
Références : BID-58073, CVE-2012-5783, FEDORA-2013-1189, FEDORA-2013-1203, FEDORA-2013-1289, HTTPCLIENT-1265, openSUSE-SU-2013:0354-1, openSUSE-SU-2013:0622-1, openSUSE-SU-2013:0623-1, openSUSE-SU-2013:0638-1, RHSA-2013:0270-01, RHSA-2013:0679-01, RHSA-2013:0680-01, RHSA-2013:0681-01, RHSA-2013:0682-01, RHSA-2013:0763-01, RHSA-2013:1006-01, RHSA-2013:1147-01, RHSA-2013:1853-01, RHSA-2014:0224-01, VIGILANCE-VUL-12182.

Description de la vulnérabilité

La bibliothèque HTTP HttpClient peut gérer des connexions HTTP sur SSL.

Pour authentifier un serveur, le client doit non seulement valider le certificat (signatures cryptographiques, dates de validité, etc.), mais aussi que le certificat présenté corresponde bien au serveur visité. Cette vérification se fait normalement par les noms DNS, parfois par les adresses IP. Cependant, HttpClient ne vérifie pas la compatibilité entre les noms présents dans le certificat et celui demandé au niveau HTTP, ce qui fait que tout certificat valide est accepté.

Un attaquant peut donc placer un certificat valide sur un serveur illicite, puis inviter un client Apache HttpClient 3 à s'y connecter, afin d'intercepter des communications malgré l'utilisation du chiffrement.
Bulletin Vigil@nce complet.... (essai gratuit)

vulnérabilité informatique CVE-2011-1498

Apache HttpComponents HttpClient : obtention du mot de passe proxy

Synthèse de la vulnérabilité

Lorsque HttpClient se connecte à un proxy nécessitant une authentification, les données d'authentification sont envoyées au serveur distant.
Produits concernés : Apache HttpClient, Fedora.
Gravité : 2/4.
Date création : 21/03/2011.
Références : BID-46974, CVE-2011-1498, FEDORA-2011-7747, VIGILANCE-VUL-10465, VU#153049.

Description de la vulnérabilité

Le produit Apache HttpComponents HttpClient implémente le protocole HTTP.

Une authentification HTTP utilise :
 - l'entête Authorization pour s'authentifier sur le serveur distant
 - l'entête Proxy-Authorization pour s'authentifier sur le proxy intermédiaire

Lorsque SSL (https) est employé, l'entête Proxy-Authorization est nécessaire pour demander au proxy d'ouvrir une session vers le serveur distant. Cependant, HttpClient ajoute aussi l'entête Proxy-Authorization au sein de la session HTTP tunnelée par SSL. Le serveur distant reçoit donc le login et le mot de passe du proxy.

Lorsque HttpClient se connecte à un proxy nécessitant une authentification, les données d'authentification sont donc envoyées au serveur distant.
Bulletin Vigil@nce complet.... (essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Apache HttpClient :