Objet: Vulnérabilités du serveur http Apache 2.0.x

Résumé

Cinq vulnérabilités ont été découvertes dans le serveur http Apache.

Description

• Deux vulnérabilités sont présentes dans le module mod_ssl d'Apache. Une première vulnérabilité dans la fonction char_buffer_read peut être exploitée par un utilisateur mal intentionné pour éxecuter un déni de service sur le serveur http (CVE CAN-2004-0751). Une deuxième vulnérabilité peut provoquer un déni de service par consommation excessive des ressources processeur (CVE CAN-2004-0748).
• Une vulnérabilité est présente dans le module mod_dav (module utilisé pour les accès webdav au le serveur web Apache). Cette vulnérabilité peut être exploitée par un utilisateur mal intentionné pour réaliser un déni de service si le serveur web est configuré pour la gestion de processus léger (thread) et si cet utilisateur peut utiliser la méthode LOCK sur le système vulnérable (CVE CAN-2004-0809).
• Une vulnérabilité a été découverte dans la gestion des adresses IPv6 (CVE CAN-2004-0786).
• Une vulnérabilité de type débordement de mémoire permet à un utilisateur mal intentionné, par le biais d'un fichier .htaccess malicieusement construit, d'obtenir les droits d'un processus fils httpd (CVE CAN-2004-0747).

Solution

La version 2.0.51 du serveur http Apache corrige ces vulnérabilités.