Risque

  • Déni de service

Systèmes affectés

  • Apache versions 1.3.37 et antérieures ;
  • Apache versions 2.0.59 et antérieures ;
  • Apache versions 2.2.4 et antérieures.

Résumé

Plusieurs vulnérabilités sont présentes dans Apache et permettent à un utilisateur local de provoquer un déni de service et à un utilisateur distant de conduire une attaque de type « Cross-Site Scripting ».

Description

Trois vulnérabilités ont été identifiées dans le serveur web Apache :

  • Une première faille dans les modules mod_status et mod_autoindex permet à un utilisateur distant de conduire une attaque de type « Cross-Site Scripting » ;
  • une seconde dans le composant MPM (Multi-Processing Module) des versions 2.x de Apache permet à un utilisateur local au serveur de provoquer un arrêt inopiné de Apache ;
  • une dernière vulnérabilité dans le module mod_cache permet à un utilisateur malintentionné distant de provoquer un arrêt de certains processus fils de Apache. Si le composant MPM (Multi-Processing Module) est utilisé, il est possible de provoquer un arrêt complet de Apache.

Solution

Se référer aux bulletins de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).

Documentation