Risques

  • Déni de service
  • Exécution de code arbitraire

Systèmes affectés

Serveur HTTP Apache versions 1.3.31, 1.3.29, 1.3.28, 1.3.27 et 1.3.26.

Résumé

Une vulnérabilité du module mod_proxy permet à un utilisateur mal intentionné de provoquer un déni de service sur le serveur vulnérable.

Description

Une vulnérabilité de type débordement de mémoire a été découverte dans le module mod_proxy du serveur HTTP Apache.

Cette vulnérabilité peut être exploitée à l'aide d'un en-tête Content-Length malicieusement choisi. Il faudra pour cela qu'un utilisateur mal intentionné puisse utiliser un serveur Apache vulnérable comme serveur mandataire (proxy) pour se connecter à un site web malveillant.

Cela provoquera l'arrêt du processus fils Apache chargé de traiter la requête.

Contournement provisoire

Désactiver le module mod_proxy.

Solution

La version 1.3.32-dev du serveur HTTP Apache corrige cette vulnérabilité.

Documentation