Objet

Vulnérabilité dans le serveur WebDav

Référence

ESUP-2007-AVI-004

Date de la première version

8 novembre 2007

Date de la dernière version

27 novembre 2007

Source

liste de diffusion slide-user@jakarta.apache.org du projet Apache

Diffusion de cette version

Publique

Historique

• 2 novembre 2007 : réception de la vulnérabilité
• 5 novembre 2007 : validation de la vulnérabilité sur le package esupwebdav-srv distribué par le consortium ESUP-Portail (Vincent Bonamy et Raymond Bourges)
• 5 novembre 2007 : constatation que le patch proposé par le commiter slide réduit les fonctionnalités du produit sur une commande WebDAV de type LOCK (Vincent Bonamy et Raymond Bourges)
• 5 novembre 2007 : constatation que la faille de sécurité existe aussi sur une commande WebDAV de type PROPPATCH et n'est pas corrigée par le patch proposé par le commiter Slide (Vincent Bonamy et Raymond Bourges)
• 6 novembre 2007 : recherche d'une solution de patch ne limitant pas les fonctionnalités du produit et comblant la faille pour les commandes LOCK et PROPPATCH (Vincent Bonamy et Raymond Bourges)
• 8 novembre 2007 : développement du patch (Raymond Bourges)
• 8 novembre 2007 : validation du correctif (Vincent Bonamy et Raymond Bourges)
  8 novembre 2007 : mise en ligne d'un nouveau correctif sous forme d'un patch pour la version 3.5 et d'une nouvelle version RC5 pour la version 5.2
• 9 novembre 2007 : envoi du correctif aux correspondants sécurité du consortium ESUP-Portail (après relecture par Pascal AUBRY)
• 27 novembre 2007 : annonce publique de la vulnérabilité par les consortiums ESUP-Portail

Pièces jointes

ESUP-2007-AVI-003004-COR.zip