CERTA : Multiples vulnérabilités dans Apache
novembre 2007 par CERT-FR
1 Risque
Déni de service.
2 Systèmes affectés
* Apache versions 1.3.37 et antérieures ;
* Apache versions 2.0.59 et antérieures ;
* Apache versions 2.2.4 et antérieures.
3 Résumé
Plusieurs vulnérabilités sont présentes dans Apache et permettent à un
utilisateur local de provoquer un déni de service et à un utilisateur distant
de conduire une attaque de type « Cross-Site Scripting ».
4 Description
Trois vulnérabilités ont été identifiées dans le serveur web Apache :
* Une première faille dans les modules mod_status et mod_autoindex permet à
un utilisateur distant de conduire une attaque de type « Cross-Site
Scripting » ;
* une seconde dans le composant MPM (Multi-Processing Module) des versions
2.x de Apache permet à un utilisateur local au serveur de provoquer un
arrêt inopiné de Apache ;
* une dernière vulnérabilité dans le module mod_cache permet à un utilisateur
malintentionné distant de provoquer un arrêt de certains processus fils de
Apache. Si le composant MPM (Multi-Processing Module) est utilisé, il est
possible de provoquer un arrêt complet de Apache.
5 Solution
Se référer aux bulletins de sécurité des éditeurs pour l’obtention des
correctifs (cf. section Documentation).
6 Documentation
* Bulletins de sécurité Apache du 31 juillet 2007 :
http://httpd.apache.org/security/vulnerabilities_22.html
http://httpd.apache.org/security/vulnerabilities_20.html
http://httpd.apache.org/security/vulnerabilities_13.html
* Bulletin de sécurité Gentoo GLSA-200711-06 du 07 novembre 2007 :
http://www.gentoo.org/security/en/glsa/glsa-200711-06.xml
* Bulletin de sécurité Mandriva MDKSA-2007:140 du 04 juillet 2007 :
http://www.mandriva.com/security/advisories?name=MDKSA-2007:140
* Bulletin de sécurité Mandriva MDKSA-2007:141 du 04 juillet 2007 :
http://www.mandriva.com/security/advisories?name=MDKSA-2007:141
* Bulletin de sécurité Mandriva MDKSA-2007:142 du 04 juillet 2007 :
http://www.mandriva.com/security/advisories?name=MDKSA-2007:142
* Bulletin de sécurité RedHat RHSA-2007:0533 du 26 juillet 2007 :
http://rhn.redhat.com/errata/RHSA-2007-0533.html
* Bulletin de sécurité RedHat RHSA-2007:0534 du 26 juillet 2007 :
http://rhn.redhat.com/errata/RHSA-2007-0534.html
* Bulletin de sécurité RedHat RHSA-2007:0556 du 26 juillet 2007 :
http://rhn.redhat.com/errata/RHSA-2007-0556.html
* Bulletin de sécurité RedHat RHSA-2007:0662 du 26 juillet 2007 :
http://rhn.redhat.com/errata/RHSA-2007-0662.html
* Bulletin de sécurité Ubuntu USN-499-1 du 16 août 2007 :
http://www.ubuntu.com/usn/usn-499-1
* Référence CVE CVE-2006-5752 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-5752
* Référence CVE CVE-2007-1863 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1863
* Référence CVE CVE-2007-3304 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3304
* Référence CVE CVE-2007-4465 :