Vulnérabilités du serveur HTTP Apache

Gestion du document

Référence	CERTA-2003-AVI-177
Titre	Vulnérabilités du serveur HTTP Apache
Date de la première version	30 octobre 2003
Date de la dernière version	23 février 2004
Source(s)	Avis de sécurité Apache
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risques

Divulgation d'informations
Exécution de code arbitraire
Élévation de privilèges

Systèmes affectés

Serveur HTTP Apache 1.3.x versions 1.3.28 et antérieures.
Serveur HTTP Apache 2.0.x versions 2.0.47 et antérieures ;

Résumé

Deux vulnérabilités ont été découvertes dans certains modules du serveur HTTP Apache.

Description

Des vulnérabilités ont été découvertes sur le module mod_cgid d'une part, et sur les modules mod_alias et mod_rewrite d'autre part.

Le module mod_cgid ne traite pas correctement les sockets de type AF_UNIX qui sont utilisées pour la communication entre le démon cgid et le script CGI. La sortie du script CGI risque alors d'être envoyée au mauvais client.

Cette vulnérabilité n'affecte que les versions 2.0.x du serveur HTTP Apache.

Les modules mod_alias et mod_rewrite présentent des vulnérabilités de type débordement de mémoire dans certains cas de configuration d'expressions régulières.

Solution

Mettre à jour le serveur HTTP Apache en version 2.0.48 ou 1.3.29.

Documentation

Site du serveur HTTP Apache :

http://httpd.apache.org

Gestion détaillée du document

le 30 octobre 2003: version initiale.
le 21 novembre 2003: ajout de la référence à l'avis de sécurité Gentoo.
le 17 décembre 2003: ajout des références aux avis de sécurité de Mandrake, RedHat et HP.
le 29 janvier 2004: ajout de la référence à la mise-à-jour 2004-01-26 d'Apple.
le 12 février 2004: ajout de la référence au bulletin de sécurité de Sun.
le 23 février 2004: ajout de la référence à un avis HP (HPSBUX0401-305).

Avis du CERT-FR

Objet: Vulnérabilités du serveur HTTP Apache