Risques

  • Déni de service
  • Exécution de code arbitraire

Systèmes affectés

  • Vulnérabilité CAN-2004-0940 : serveur HTTP Apache versions 1.3.32 et antérieures.
  • Vulnérabilité CAN-2004-0942 : serveur HTTP Apache versions 2.0.52 et antérieures.

Résumé

Deux vulnérabilités ont été découvertes dans le serveur HTTP Apache.

Description

  • Vulnérabilité CAN-2004-0940 : une vulnérabilité du module mod_include de type débordement de mémoire permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.

    Pour exploiter cette vulnérabilité, l'utilisateur doit être autorisé à créer des fichiers de type Server Side Include (SSI).

  • Vulnérabilité CAN-2004-0942 : une vulnérabilité a été découverte dans la gestion de certaines requêtes HTTP. Cette vulnérabilité peut être exploitée par un utilisateur distant mal intentionné afin de provoquer un déni de service.

Solution

La version 1.3.33 corrige la vulnérabilité CAN-2004-0940.
La version 2.0.53-dev corrige la vulnérabilité CAN-2004-0942.

Documentation