Vigil@nce : Apache APR-util, déni de service via XML
juin 2009 par Vigil@nce
Un attaquant peut construire des données XML complexes afin de mener un déni de service dans les applications liées à APR-util.
Gravité : 2/4
Conséquences : déni de service du service
Provenance : client internet
Moyen d’attaque : 2 attaques
Compétence de l’attaquant : débutant (1/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 04/06/2009
PRODUITS CONCERNÉS
– Apache httpd
– Debian Linux
– Mandriva Corporate
– Mandriva Linux
– Mandriva Multi Network Firewall
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
La bibliothèque Apache APR-util implémente un parseur XML.
En XML, une entité (comme "&abc;") permet de définir un alias sur
un caractère, ou une chaîne texte.
Un attaquant peut créer une entité construite sur plusieurs
entités, elles-mêmes construites sur plusieurs entités, etc.
L’entité équivalente est donc très complexe et très grande.
Lorsque le parseur d’APR-util traite cette entité, il consomme de
nombreuses ressources.
Un attaquant peut donc construire des données XML complexes afin
de mener un déni de service dans les applications liées à
APR-util. Le module mod_dav fait partie des applications affectées.
CARACTÉRISTIQUES
Références : BID-35253, CVE-2009-1955, DSA 1812-1, MDVSA-2009:131, MDVSA-2009:131-1, VIGILANCE-VUL-8761
http://vigilance.fr/vulnerabilite/Apache-APR-util-deni-de-service-via-XML-8761