Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERTA : Multiples vulnérabilités dans Apache

novembre 2007 par CERT-FR

1 Risque

Déni de service.

2 Systèmes affectés

* Apache versions 1.3.37 et antérieures ;
* Apache versions 2.0.59 et antérieures ;
* Apache versions 2.2.4 et antérieures.

3 Résumé

Plusieurs vulnérabilités sont présentes dans Apache et permettent à un
utilisateur local de provoquer un déni de service et à un utilisateur distant
de conduire une attaque de type « Cross-Site Scripting ».

4 Description

Trois vulnérabilités ont été identifiées dans le serveur web Apache :

* Une première faille dans les modules mod_status et mod_autoindex permet à
un utilisateur distant de conduire une attaque de type « Cross-Site
Scripting » ;
* une seconde dans le composant MPM (Multi-Processing Module) des versions
2.x de Apache permet à un utilisateur local au serveur de provoquer un
arrêt inopiné de Apache ;
* une dernière vulnérabilité dans le module mod_cache permet à un utilisateur
malintentionné distant de provoquer un arrêt de certains processus fils de
Apache. Si le composant MPM (Multi-Processing Module) est utilisé, il est
possible de provoquer un arrêt complet de Apache.

5 Solution

Se référer aux bulletins de sécurité des éditeurs pour l’obtention des
correctifs (cf. section Documentation).

6 Documentation

* Bulletins de sécurité Apache du 31 juillet 2007 :

http://httpd.apache.org/security/vulnerabilities_22.html

http://httpd.apache.org/security/vulnerabilities_20.html

http://httpd.apache.org/security/vulnerabilities_13.html

* Bulletin de sécurité Gentoo GLSA-200711-06 du 07 novembre 2007 :

http://www.gentoo.org/security/en/glsa/glsa-200711-06.xml

* Bulletin de sécurité Mandriva MDKSA-2007:140 du 04 juillet 2007 :

http://www.mandriva.com/security/advisories?name=MDKSA-2007:140

* Bulletin de sécurité Mandriva MDKSA-2007:141 du 04 juillet 2007 :

http://www.mandriva.com/security/advisories?name=MDKSA-2007:141

* Bulletin de sécurité Mandriva MDKSA-2007:142 du 04 juillet 2007 :

http://www.mandriva.com/security/advisories?name=MDKSA-2007:142

* Bulletin de sécurité RedHat RHSA-2007:0533 du 26 juillet 2007 :

http://rhn.redhat.com/errata/RHSA-2007-0533.html

* Bulletin de sécurité RedHat RHSA-2007:0534 du 26 juillet 2007 :

http://rhn.redhat.com/errata/RHSA-2007-0534.html

* Bulletin de sécurité RedHat RHSA-2007:0556 du 26 juillet 2007 :

http://rhn.redhat.com/errata/RHSA-2007-0556.html

* Bulletin de sécurité RedHat RHSA-2007:0662 du 26 juillet 2007 :

http://rhn.redhat.com/errata/RHSA-2007-0662.html

* Bulletin de sécurité Ubuntu USN-499-1 du 16 août 2007 :

http://www.ubuntu.com/usn/usn-499-1

* Référence CVE CVE-2006-5752 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-5752

* Référence CVE CVE-2007-1863 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1863

* Référence CVE CVE-2007-3304 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3304

* Référence CVE CVE-2007-4465 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4465


Voir les articles précédents

    

Voir les articles suivants