Risque
- Déni de service à distance
Systèmes affectés
- Apache version 2.0.55 et versions antérieures ;
- Apache version 2.1.10 et versions antérieures.
- Apache version 2.2.0 et versions antérieures ;
Résumé
Une vulnérabilité dans le module mod_ssl d'apache permet à un utilisateur mal intentionné de réaliser un déni de service à distance.
Description
Une vulnérabilité a été découverte dans le module mod_ssl du serveur web Apache 2.
Un utilisateur mal intentionné peut exploiter cette vulnérabilité par l'intermédiaire d'une requête normale (c'est à dire non SSL) spécialement construite, à destination d'un hôte virtuel SSL.
Cette vulnérabilité n'est exploitable que dans le cas où l'hôte virtuel a été configuré pour fournir une page d'erreur particulière comme réponse aux erreures de type 400.
Solution
Une mise à jour est disponible sur le CVS d'Apache :
http://issues.apache.org/bugzilla/show_bug.cgi?id=37791
Documentation
- Bulletin de sécurité Mandriva MDSKA-2006:007 du 05 janvier 2006 : http://wwwnew.mandriva.com/security/advisories?name=MDSKA-2006:007
- Bulletin de sécurité RedHat RHSA-2006:00159 du 06 janvier 2006 : http://rhn.redhat.com/errata/RHSA-2006-00159.html
- Bulletin de sécurité SUSE SUSE-SR:2006:004 du 24 février 2006 : http://www.novell.com/linux/security/advisories/2006_04_sr.html
- Report de ce bug sur le site d'Apache : http://issues.apache.org/bugzilla/show_bug.cgi?id=37791
- Site de l'éditeur : http://www.apache.org
- Référence CVE CVE-2005-3357 https://www.cve.org/CVERecord?id=CVE-2005-3357