{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Versions du serveur HTTP Apache ant\u00e9rieures \u00e0 la version 1.3.30 ;","product":{"name":"N/A","vendor":{"name":"Apache","scada":false}}},{"description":"versions du serveur HTTP Apache ant\u00e9rieures \u00e0 la version 1.3.31 pour la vuln\u00e9rabilit\u00e9 sur mod_digest.","product":{"name":"N/A","vendor":{"name":"Apache","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nDeux vuln\u00e9rabilit\u00e9s sont pr\u00e9sentes dans le serveur HTTP Apache :\n\n-   Le serveur HTTP Apache ne filtre pas les s\u00e9quences d'\u00e9chappement de\n    terminaux dans ses journaux d'erreurs. Cette vuln\u00e9rabilit\u00e9 peut \u00eatre\n    exploit\u00e9e afin de modifier certains fichiers ou bien d'effectuer un\n    d\u00e9ni de service. Cette vuln\u00e9rabilit\u00e9 est \u00e9galement pr\u00e9sente sur\n    Apache 2 sous MacOS X (cf avis CERTA-2004-AVI-156, section\n    documentation) ;\n-   une vuln\u00e9rabilit\u00e9 sur le module mod_digest (authentification md5)\n    est pr\u00e9sente dans la v\u00e9rification de la r\u00e9ponse d'authentification.\n    Cette vuln\u00e9rabilit\u00e9 permet \u00e0 un utilisateur mal intentionn\u00e9 de\n    rejouer une r\u00e9ponse afin de s'authentifier sur le syst\u00e8me\n    vuln\u00e9rable.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[],"links":[{"title":"Avis de s\u00e9curit\u00e9 Mandrake MDKSA-2004:046 :","url":"http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:046"},{"title":"Avis de s\u00e9curit\u00e9 Gentoo GLSA 200405-22 :","url":"http://security.gentoo.org/glsa/glsa-200405-22.xml"},{"title":"Mise \u00e0 jour de s\u00e9curit\u00e9 du paquetage NetBSD apache :","url":"ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/www/apache/README.html"},{"title":"Avis de s\u00e9curit\u00e9 CERTA-2004-AVI-156 :","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2004-AVI-156/"}],"reference":"CERTA-2004-AVI-167","revisions":[{"description":"version initiale.","revision_date":"2004-05-18T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Gentoo.","revision_date":"2004-05-27T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 NetBSD.","revision_date":"2004-06-30T00:00:00.000000"}],"risks":[{"description":"D\u00e9ni de service"},{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"}],"summary":null,"title":"Multiples vuln\u00e9rabilit\u00e9s du serveur HTTP Apache","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Mandrake MDKSA-2004:046","url":null}]}