Risque
- Contournement de la politique de sécurité ;
- atteinte à la confidentialité des données ;
- déni de service à distance.
Systèmes affectés
IBM HTTP Server versions 6.0.2.43, 6.1.0.35 et 7.0.0.13.
Résumé
De multiples vulnérabilités ont été découvertes dans IBM HTTP Server. Elles permettent à une personne malintentionnée de porter atteinte à la confidentialité des données ou d'effectuer un déni de service à distance.
Description
Les vulnérabilités touchent le serveur Apache, inclu dans IBM HTTP Server et permettent d'accéder à des données confidentielles ainsi que de créer un déni de service à distance. Pour plus d'informations sur celles-ci, se reporter à l'avis CERTA-2010-AVI-264. La version 7.0.0.13 n'est concernée que par la vulnérabilité identifiée par le numéro CVE-2010-2068.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité IBM PM16366 du 23 juillet 2010 :
http://www-01.ibm.com/support/docview.wss?uid=swg1PM16366
- Bulletin de sécurité IBM PM16366 du 08 octobre 2010 :
http://www-01.ibm.com/support/docview.wss?uid=swg1PM18904
- Avis CERTA-2010-AVI-264
http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-264/
- Référence CVE CVE-2010-2068 :
https://www.cve.org/CVERecord?id=CVE-2010-2068
- Référence CVE CVE-2010-1452 :
https://www.cve.org/CVERecord?id=CVE-2010-1452