Risques

  • Déni de service à distance
  • Exécution de code arbitraire à distance

Systèmes affectés

  • Apache httpd version 1.3.36 et antérieures ;
  • Apache httpd version 2.0.58 et antérieures ;
  • Apache httpd version 2.2.2 et antérieures.

Résumé

Une vulnérabilité dans le serveur web Apache httpd permet à un utilisateur distant mal intentionné de provoquer un déni de service ou d'exécuter du code arbitraire.

Description

Apache httpd dispose d'un module nommé Rewrite (mod_rewrite) permettant la ré-écriture « à la volée » d'adresses réticulaires ( URL ). Une erreur dans ce module permet à un utilisateur distant mal intentionné de réaliser une attaque de type débordement de tampon. Il peut ainsi provoquer un déni de service ou exécuter du code arbitraire sur le serveur vulnérable par le biais d'une requête construite de façon particulière.

NB : Bien que ce module ne soit pas activé par défaut dans la version standard de Apache httpd, il peut en être autrement dans certaines distributions GNU/Linux ou dans d'autres systèmes d'exploitation.

Solution

Se référer aux bulletins de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).

Documentation