CERT-XMCO : Adobe met en garde ces clients contre la vulnérabilité du module "mod_isapi" du serveur web Apache
mars 2010 par CERT-XMCO
* Apache HTTP Server Vulnerability Advisory for Adobe Flash Media Server Customers
– Date : 16 Mars 2010
– Programmes :
* Apache
* Adobe Flash Media Server
– Gravité : Moyenne
– Exploitation : Distante
– Dommage : Accès au système
– Description :
Après la publication de la vulnérabilité affectant le serveur web Apache fonctionnant sur les plates-formes Windows (voir bulletin CXA-2010-0276), Adobe met en garde ses clients contre un risque d’exploitation à distance.
En effet, les versions 3.5.x (pour Windows) du serveur de streaming Flash Media Server édité par Adobe embarquent la version 2.2.9 du serveur Apache, également vulnérable. Adobe nuance néanmoins son alerte en spécifiant que le module "mod_isapi" n’est pas activé par défaut.
D’autres part, Adobe fournit une solution temporaire permettant de désactiver le support de ce module. L’éditeur recommande de commenter la ligne "LoadModule isapi_module modules/mod_isapi.so" en insérant un "#" dans le fichier "FMS_INSTALL_DIR/Apache2.2/conf/httpd.conf". Pour les clients utilisant ce module, une version corrigée d’Apache existe et est disponible sur le site de l’éditeur.
– Vulnérable :
* Apache version 2.2.* < 2.2.15
– Référence :
http://blogs.adobe.com/psirt/2010/03/apache_http_server_vulnerabili.html
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0276
– Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0425
– Correction :
Adobe recommande d’installer la version 2.2.15 du serveur web Apache, disponible à l’adresse suivante :
http://mir2.ovh.net/ftp.apache.org/dist/httpd/binaries/win32/
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0311