S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 19 novembre 2004
N° CERTA-2004-AVI-370-003
Affaire suivie par: CERT-FR
le 19 novembre 2004

Avis du CERT-FR

Objet: Vulnérabilités du serveur HTTP Apache

Gestion du document

Référence CERTA-2004-AVI-370-003
Titre Vulnérabilités du serveur HTTP Apache
Date de la première version 19 novembre 2004
Date de la dernière version 14 février 2005
Source(s) Bulletin de sécurité Debian DSA-594 du 17 novembre 2004
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire ;
  • déni de service.

Systèmes affectés

  • Vulnérabilité CAN-2004-0940 : serveur HTTP Apache versions 1.3.32 et antérieures.
  • Vulnérabilité CAN-2004-0942 : serveur HTTP Apache versions 2.0.52 et antérieures.

Résumé

Deux vulnérabilités ont été découvertes dans le serveur HTTP Apache.

Description

  • Vulnérabilité CAN-2004-0940 : une vulnérabilité du module mod_include de type débordement de mémoire permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.

    Pour exploiter cette vulnérabilité, l'utilisateur doit être autorisé à créer des fichiers de type Server Side Include (SSI).

  • Vulnérabilité CAN-2004-0942 : une vulnérabilité a été découverte dans la gestion de certaines requêtes HTTP. Cette vulnérabilité peut être exploitée par un utilisateur distant mal intentionné afin de provoquer un déni de service.

Solution

La version 1.3.33 corrige la vulnérabilité CAN-2004-0940.
La version 2.0.53-dev corrige la vulnérabilité CAN-2004-0942.

Documentation

Gestion détaillée du document

    le 19 novembre 2004
    version initiale.
    le 25 novembre 2004
    ajout de la référence au bulletin de sécurité SUSE.
    le 03 janvier 2005
    ajout de la référence au bulletin de sécurité HPSBTU01106 pour Apache sur Tru64 UNIX.
    le 14 février 2005
    ajout de la référence au bulletin de sécurité NetBSD.