S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 09 avril 2003
N° CERTA-2003-AVI-073
Affaire suivie par: CERT-FR
le 09 avril 2003

Avis du CERT-FR

Objet: Vulnérabilité du serveur HTTP Apache

Gestion du document

Référence CERTA-2003-AVI-073
Titre Vulnérabilité du serveur HTTP Apache
Date de la première version 09 avril 2003
Date de la dernière version 09 avril 2003
Source(s) Avis de sécurité de iDEFENSE du 08 avril 2003
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Déni de service.

Systèmes affectés

Serveur HTTP Apache versions 2.x antérieures à la version 2.0.45.

Résumé

Une vulnérabilité dans le serveur HTTP Apache permet à un utilisateur mal intentionné de provoquer un déni de service.

Description

Le serveur HTTP Apache est vulnérable à une fuite de mémoire, qui peut être exploitée pour provoquer un déni de service.

Cette fuite provient de l'allocation de mémoire pour les caractères de retour de ligne. Le serveur alloue 80 octets de mémoire pour chacun de ces caractères, sans limite supérieure.

Il est alors possible d'envoyer de nombreuses requêtes contenant plusieurs caractères de retour de ligne, et provoquer ainsi la saturation du serveur.

Solution

La version 2.0.45 corrige cette vulnérabilité.

Documentation

Gestion détaillée du document

    le 09 avril 2003
    version initiale.