Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
Version du serveur HTTP Apache 2.2.0 à 2.2.14.
Résumé
Des vulnérabilités multiples dans les versions du serveur Apache de la branche 2.2.0, antérieures à la version 2.2.15 permettent à un utilisateur malveillant d'exécuter du code à distance, ou de provoquer un déni de service.
Description
Plusieurs vulnérabilités dans les modules mod_isapi, mod_headers et mod_proxy_ajp permettent à un utilisateur malveillant de provoquer un déni de service ou d'exécuter du code à distance.
Solution
Installer la version 2.2.15 d'Apache HTTP serveur. La version 2.2.15 intégre la version à jour de la librairie OpenSSL 0.9.8m et corrige ainsi la vulnérabilité CVE-2009-3555.
Documentation
- Annonce de la version 2.2.15 du serveur APACHE : http://www.apache.org/dist/httpd/Announcement2.2.html
- Bulletin de sécurité RedHat RHSA-2010:0168-1 du 25 mars 2010 : http://rhn.redhat.com/errata/RHSA-2010-0168.html
- Bulletin de sécurité Ubuntu USN-908-1 du 10 mars 2010 : http://www.ubuntu.com/usn/USN-908-1
- Vulnérabilités du serveur HTTP APACHE 2.2 : http://httpd.apache.org/security/vulnerabilities_22.html
- Référence CVE CVE-2009-3555 https://www.cve.org/CVERecord?id=CVE-2009-3555
- Référence CVE CVE-2010-0408 https://www.cve.org/CVERecord?id=CVE-2010-0408
- Référence CVE CVE-2010-0425 https://www.cve.org/CVERecord?id=CVE-2010-0425
- Référence CVE CVE-2010-0434 https://www.cve.org/CVERecord?id=CVE-2010-0434
