Risque
- Déni de service
Systèmes affectés
- Apache versions 1.3.37 et antérieures ;
- Apache versions 2.0.59 et antérieures ;
- Apache versions 2.2.4 et antérieures.
Résumé
Plusieurs vulnérabilités sont présentes dans Apache et permettent à un utilisateur local de provoquer un déni de service et à un utilisateur distant de conduire une attaque de type « Cross-Site Scripting ».
Description
Trois vulnérabilités ont été identifiées dans le serveur web Apache :
- Une première faille dans les modules mod_status et mod_autoindex permet à un utilisateur distant de conduire une attaque de type « Cross-Site Scripting » ;
- une seconde dans le composant MPM (Multi-Processing Module) des versions 2.x de Apache permet à un utilisateur local au serveur de provoquer un arrêt inopiné de Apache ;
- une dernière vulnérabilité dans le module mod_cache permet à un utilisateur malintentionné distant de provoquer un arrêt de certains processus fils de Apache. Si le composant MPM (Multi-Processing Module) est utilisé, il est possible de provoquer un arrêt complet de Apache.
Solution
Se référer aux bulletins de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Gentoo GLSA-200711-06 du 07 novembre 2007 : http://www.gentoo.org/security/en/glsa/glsa-200711-06.xml
- Bulletin de sécurité Mandriva MDKSA-2007:140 du 04 juillet 2007 : http://www.mandriva.com/security/advisories?name=MDKSA-2007:140
- Bulletin de sécurité Mandriva MDKSA-2007:141 du 04 juillet 2007 : http://www.mandriva.com/security/advisories?name=MDKSA-2007:141
- Bulletin de sécurité Mandriva MDKSA-2007:142 du 04 juillet 2007 : http://www.mandriva.com/security/advisories?name=MDKSA-2007:142
- Bulletin de sécurité RedHat RHSA-2007:0533 du 26 juillet 2007 : http://rhn.redhat.com/errata/RHSA-2007-0533.html
- Bulletin de sécurité RedHat RHSA-2007:0534 du 26 juillet 2007 : http://rhn.redhat.com/errata/RHSA-2007-0534.html
- Bulletin de sécurité RedHat RHSA-2007:0556 du 26 juillet 2007 : http://rhn.redhat.com/errata/RHSA-2007-0556.html
- Bulletin de sécurité RedHat RHSA-2007:0662 du 26 juillet 2007 : http://rhn.redhat.com/errata/RHSA-2007-0662.html
- Bulletin de sécurité Ubuntu USN-499-1 du 16 août 2007 : http://www.ubuntu.com/usn/usn-499-1
- Bulletins de sécurité Apache du 31 juillet 2007 : http://httpd.apache.org/security/vulnerabilities_20.html
- Bulletins de sécurité Apache du 31 juillet 2007 : http://httpd.apache.org/security/vulnerabilities_13.html
- Bulletins de sécurité Apache du 31 juillet 2007 : http://httpd.apache.org/security/vulnerabilities_22.html
- Référence CVE CVE-2006-5752 https://www.cve.org/CVERecord?id=CVE-2006-5752
- Référence CVE CVE-2007-1863 https://www.cve.org/CVERecord?id=CVE-2007-1863
- Référence CVE CVE-2007-3304 https://www.cve.org/CVERecord?id=CVE-2007-3304
- Référence CVE CVE-2007-4465 https://www.cve.org/CVERecord?id=CVE-2007-4465