Risque
- Déni de service
Systèmes affectés
Serveur HTTP Apache versions 2.0.35 à 2.0.48 avec le module mod_ssl activé.
Résumé
Un utilisateur mal intentionné peut provoquer un déni de service sur un serveur HTTP Apache dont le module mod_ssl est activé.
Description
Une mauvaise gestion de la mémoire dans le module mod_ssl permet à un utilisateur mal intentionné de provoquer l'arrêt brutal du serveur HTTP Apache.
Cette vulnérabilité peut être exploitée en envoyant des paquets HTTP sur le port du serveur HTTPS (le port par défaut est le 443/tcp).
Contournement provisoire
Désactiver le module mod_ssl si ce dernier n'est pas nécessaire.
Filtrer le port 443/tcp sur les pare-feux pour limiter les attaques venant de l'extérieur.
Solution
La version 2.0.49 corrige cette vulnérabilité.
Pour les versions actuelles, appliquer le correctif disponible à l'adresse suivante :
http://cvs.apache.org/viewcvs.cgi/httpd-2.0/modules/ssl/ssl_engine_io.c?r1=1.100.2.11&r2=1.100.2.12
Documentation
- Correctifs intégrés à la version 2.0.49 d'Apache : Bug du serveur HTTP Apache #27106 : http://nagoya.apache.org/bugzilla/show_bug.cgi?id=27106 Avis de sécurité RedHat RHSA-2004:084-14 pour Red Hat Enterprise Linux : http://rhn.redhat.com/errata/RHSA-2004-084.html Avis de sécurité RedHat RHSA-2004:182 pour Red Hat Linux : http://rhn.redhat.com/errata/RHSA-2004-182.html Avis de sécurité GLSA 200403-04 : http://www.securityfocus.com/advisories/6472 Bulletin de sécurité HPSBUX01022 pour HP-UX : http://www.securityfocus.com/advisories/6621 Bulletin de sécurité MDKSA-2004:043 de Mandrake : http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:043 Avis de sécurité FreeBSD du 08 mars 2004 : http://www.vuxml.org/freebsd/ Mise à jour de sécurité du paquetage NetBSD apache2 : ftp://ftp.netbsd.org/pub/NetBSD/packages/distfiles/vulnerabilities Référence CVE CAN-2004-0113 : https://www.cve.org/CVERecord?id=CAN-2004-0113 http://www.apache.org/dist/httpd/CHANGES_2.0