Vigil@nce - Apache HTTP Server : déni de service via mod_dav
juillet 2013 par Marc Jacob
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut envoyer une requête MERGE pour mod_dav de Apache
HTTP Server, afin de mener un déni de service.
Produits concernés : Apache httpd, MBS, MES
Gravité : 2/4
Date création : 15/07/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Le module mod_dav (DAV, Distributed Authoring and Versioning)
s’installe sur Apache HTTP Server.
La commande MERGE de mod_dav_svn applique les différences entre
deux sources Subversion. Cependant, si cette commande indique une
URI non configurée pour DAV, une erreur de segmentation se produit
dans mod_dav.
Un attaquant peut donc envoyer une requête MERGE pour mod_dav de
Apache HTTP Server, afin de mener un déni de service.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Apache-HTTP-Server-deni-de-service-via-mod-dav-13117