Risques

  • Contournement de la politique de sécurité
  • Corruption de cache
  • Cross-site scripting
  • Déni de service

Systèmes affectés

Apache version 2.0.54 et versions antérieures.

Description

  • Une première vulnérabilité de type débordement de mémoire dans une fonction de gestion des listes de révocation de certificats (CRL) permet à un attaquant de créer un déni de service sur le serveur Apache vulnérable (CVE CAN-2005-1268) ;
  • une seconde vulnérabilité, lorsque Apache est utilisé comme un proxy, permet à un attaquant de contourner la politique de sécurité, corrompre le cache ou réaliser des attaques de type cross-site scripting (CVE CAN-2005-2088).

Solution

La future version Apache 2.0.55 corrigera ces vulnérabilités.
Apache peut être téléchargé à l'adresse suivante :

http://httpd.apache.org/download.cgi

Se référer au bulletin de sécurité de l'éditeur pourl'obtention des correctifs (cf. section Documentation).

Documentation