Vigil@nce - Apache httpd : lecture de cookie HttpOnly
février 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer une requête HTTP malformée, afin de
provoquer une erreur 400, qui affiche les cookies HttpOnly de
l’utilisateur, et permet d’y accéder depuis du code JavaScript.
Gravité : 2/4
Date création : 27/01/2012
PRODUITS CONCERNÉS
– Apache httpd
– Debian Linux
– Mandriva Enterprise Server
– Mandriva Linux
DESCRIPTION DE LA VULNÉRABILITÉ
L’entête HTTP Set-Cookie permet de définir un cookie. Cet entête
peut aussi contenir l’attribut HttpOnly :
Set-Cookie : v=abc ; HttpOnly
Cet attribut indique que ce cookie ne peut pas être accédé depuis
un code JavaScript. Cette fonctionnalité est supportée depuis IE 6
SP1, Mozilla Firefox 3.0.0.6 et Opera 9.23, afin de protéger un
site web contre les Cross Site Scripting.
Lorsque Apache httpd reçoit une requête HTTP malformée (CONNECT
avec "authority", ligne plus longue que LimitRequestFieldSize,
entête sans ’ :’), il retourne une page d’erreur en code 400. S’il
n’y a pas de page par défaut définie avec ErrorDocument, Apache
httpd génère dynamiquement cette page. Cependant, dans ce cas, la
page générée contient tous les entêtes, afin d’aider les
développeurs. Les cookies sont ainsi affichés au sein du HTML,
même s’ils ont l’attribut HttpOnly. Comme le code JavaScript est
autorisé à accéder au document HTML, il peut donc lire le cookie.
Un attaquant peut donc employer une requête HTTP malformée, afin
de provoquer une erreur 400, qui affiche les cookies HttpOnly de
l’utilisateur, et permet d’y accéder depuis du code JavaScript.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Apache-httpd-lecture-de-cookie-HttpOnly-11323