Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance.
Systèmes affectés
- Apache Web Server Suite versions antérieures à v3.05 (HP-UX 11iv2 et 11iv3) ;
- Apache Web Server Suite versions antérieures à v2.25 (HP-UX 11iv1).
Résumé
Plusieurs vulnérabilités de HP-UX Apache Web Server Suite permettent de réaliser un déni de service à distance et d'exécuter du code arbitraire à distance.
Description
De multiples vulnérabilités liées au langage PHP, au serveur Web Apache et aux moteurs de servlet basés sur celui de Tomcat permettent à un individu distant de réaliser un déni de service ou d'exécuter du code arbitraire. Ces vulnérabilités ont été décrites dans les avis précédents du CERTA.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité HP c01756421 du 29 juin 2009 :
http://itrc.hp.com/service/cki/docDisplay.do?docId=c01756421
- Avis CERTA-2007-AVI-339 du 08 novembre 2007 :
http://www.certa.ssi.gouv.fr/site/CERTA-2007-AVI-339
- Avis CERTA-2008-AVI-011 du 09 janvier 2008 :
http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-011
- Avis CERTA-2008-AVI-225 du 02 mai 2008 :
http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-225
- Avis CERTA-2008-AVI-417 du 08 août 2008 :
http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-417
- Avis CERTA-2009-AVI-083 du 03 mars 2009 :
http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-083
- Référence CVE CVE-2007-4465 :
https://www.cve.org/CVERecord?id=CVE-2007-4465
- Référence CVE CVE-2008-0005 :
https://www.cve.org/CVERecord?id=CVE-2008-0005
- Référence CVE CVE-2008-0599 :
https://www.cve.org/CVERecord?id=CVE-2008-0599
- Référence CVE CVE-2008-2168 :
https://www.cve.org/CVERecord?id=CVE-2008-2168
- Référence CVE CVE-2008-2371 :
https://www.cve.org/CVERecord?id=CVE-2008-2371
- Référence CVE CVE-2008-2665 :
https://www.cve.org/CVERecord?id=CVE-2008-2665
- Référence CVE CVE-2008-2666 :
https://www.cve.org/CVERecord?id=CVE-2008-2666
- Référence CVE CVE-2008-2829 :
https://www.cve.org/CVERecord?id=CVE-2008-2829
- Référence CVE CVE-2008-3959 :
https://www.cve.org/CVERecord?id=CVE-2008-3959
- Référence CVE CVE-2008-3660 :
https://www.cve.org/CVERecord?id=CVE-2008-3660
- Référence CVE CVE-2008-5498 :
https://www.cve.org/CVERecord?id=CVE-2008-5498
- Référence CVE CVE-2008-5557 :
https://www.cve.org/CVERecord?id=CVE-2008-5557
- Référence CVE CVE-2008-5624 :
https://www.cve.org/CVERecord?id=CVE-2008-5624
- Référence CVE CVE-2008-5625 :
https://www.cve.org/CVERecord?id=CVE-2008-5625
- Référence CVE CVE-2008-5658 :
https://www.cve.org/CVERecord?id=CVE-2008-5658