Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
- Apache httpd version 1.3.36 et antérieures ;
- Apache httpd version 2.0.58 et antérieures ;
- Apache httpd version 2.2.2 et antérieures.
Résumé
Une vulnérabilité dans le serveur web Apache httpd permet à un utilisateur distant mal intentionné de provoquer un déni de service ou d'exécuter du code arbitraire.
Description
Apache httpd dispose d'un module nommé Rewrite (mod_rewrite) permettant la ré-écriture « à la volée » d'adresses réticulaires ( URL ). Une erreur dans ce module permet à un utilisateur distant mal intentionné de réaliser une attaque de type débordement de tampon. Il peut ainsi provoquer un déni de service ou exécuter du code arbitraire sur le serveur vulnérable par le biais d'une requête construite de façon particulière.
NB : Bien que ce module ne soit pas activé par défaut dans la version standard de Apache httpd, il peut en être autrement dans certaines distributions GNU/Linux ou dans d'autres systèmes d'exploitation.
Solution
Se référer aux bulletins de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité de l'US-CERT #395412 du 27 juillet 2006 http://www.kb.cert.org/vulns/id/395412
- Alerte de sécurité de l'US-CERT #395412 du 27 juillet 2006 : http://www.kb.cert.org/vulns/id/395412
- Bulletin de mise à jour Debian DSA-1167-1 du 04 septembre 2006 : http://www.debian.org/security/2006/dsa-1167
- Bulletin de sécurité Debian DSA 1131 du 30 juillet 2006 : http://www.debian.org/security/dsa-1131
- Bulletin de sécurité Debian DSA 1132 du 30 juillet 2006 : http://www.debian.org/security/dsa-1132
- Bulletin de sécurité Gentoo GLSA 200608-01 du 01 août 2006 : http://www.gentoo.org/security/en/glsa/glsa-200608-01.xml
- Bulletin de sécurité IBM PK29154 du 14 août 2006 pour IBM HTTP Server 6.x : http://www-1.ibm.com/support/docview.wss?uid=swg1PK29154
- Bulletin de sécurité IBM PK29156 du 14 août 2006 pour IBM HTTP Server 2.0.x : 2 http://www-1.ibm.com/support/docview.wss?uid=swg1PK29156
- Bulletin de sécurité Mandriva MDKSA-2006:133 du 28 juillet 2006 : http://www.mandriva.com/security/advisories?name=MDKSA-2006:133
- Bulletin de sécurité SuSE SUSE-SA:2006:043 du 28 juillet 2006 : http://www.novell.com/linux/security/advisories/2006_43_apache.html
- Bulletin de sécurité Ubuntu USN-328-1 du 27 juillet 2006 : http://www.ubuntu.com/usn/usn-328-1
- Correctif de sécurité OpenBSD pour httpd du 31 juillet 2006 : http://openbsd.org/errata.html#httpd
- Listes des changements apportés aux versions 1.3.36, 2.0.58, 2.2.2 : http://www.apache.org/dist/httpd/Announcement2.0.html
- Listes des changements apportés aux versions 1.3.36, 2.0.58, 2.2.2 : http://www.apache.org/dist/httpd/Announcement1.3.html
- Listes des changements apportés aux versions 1.3.36, 2.0.58, 2.2.2 : http://www.apache.org/dist/httpd/Announcement2.2.html
- Référence CVE CVE-2006-3747 https://www.cve.org/CVERecord?id=CVE-2006-3747