Risque

  • Déni de service à distance ;
  • contournement de la politique de sécurité.

Systèmes affectés

Module mod_dav_svn pour Apache HTTPD versions 1.5.0 à 1.6.16.

Résumé

Trois vulnérabilités ont été corrigées dans le module Subversion du serveur Apache. L'une d'entre-elles permet à un attaquant de réaliser un déni de service à distance.

Description

Plusieurs vulnérabilités ont été corrigées dans la version 1.6.17 du module Subversion mod_dav_svn pour le serveur Apache:

  • un déréférencement de pointeur NULL permet à une personne malveillante d'arrêter le serveur de manière inopinée (CVE-2011-1752) ;
  • dans certaines configurations du serveur, un attaquant peut réaliser un déni de service en utilisant des requêtes specialement conçues qui font entrer le programme dans une boucle infinie (CVE-2011-1783) ;
  • dans certaines configurations du serveur, un utilisateur peut accéder au contenu des fichiers de manière illégitime (CVE-2011-1921).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation