Vigil@nce - Apache httpd : déni de service via mod_deflate
août 2014 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut envoyer des données spéciales vers Apache httpd
avec mod_deflate en Input Filter, afin de mener un déni de service.
Produits concernés : Apache httpd, Debian, Fedora, MBS, RHEL,
Slackware, Ubuntu
Gravité : 2/4
Date création : 17/07/2014
DESCRIPTION DE LA VULNÉRABILITÉ
Le module mod_deflate de Apache httpd compresse/décompresse les
données.
La décompression du corps HTTP est par exemple activée avec :
SetInputFilter DEFLATE
Cependant, dans ce cas, des données spéciales conduisent à la
consommation de nombreuses ressources.
Un attaquant peut donc envoyer des données spéciales vers Apache
httpd avec mod_deflate en Input Filter, afin de mener un déni de
service.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Apache-httpd-deni-de-service-via-mod-deflate-15067