S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 13 août 2002
N° CERTA-2002-AVI-176
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité du serveur Apache 2.0

Gestion du document

Référence CERTA-2002-AVI-176
Titre Vulnérabilité du serveur Apache 2.0
Date de la première version13 août 2002
Date de la dernière version13 août 2002
Source(s) Avis de la fondation Apache Sotfware
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Accès à des informations non autorisées
  • Déni de service

Systèmes affectés

Serveur Apache HTTP versions 2.0 à 2.0.39 incluse sur les plates-formes Windows, OS2 et Netware.

Description

Une vulnérabilité dans les versions 2.0 du serveur Apache HTTP permet à un utilisateur distant mal intentionné d'avoir accès à des informations non autorisées, et de provoquer un déni de service.

Contournement provisoire

Dans le fichier httpd.conf, ajouter la ligne suivante avant la première instruction Alias ou Redirect :

RedirectMatch 400 "\\\.\."

Solution

La version 2.0.40 corrige la vulnérabilité.

Documentation

Gestion détaillée du document

    le 13 août 2002
    version initiale.