Risque
- Déni de service à distance
Systèmes affectés
Apache 2.2.
Résumé
Plusieurs vulnérabilités dans Apache permettent à un utilisateur malveillant de provoquer un déni de service à distance.
Description
Trois vulnérabilités présentes dans Apache sont exploitables pour provoquer un déni de service à distance :
- CVE-2009-3560 un problème dans la bibliothèque Expat permet de provoquer un arrêt inopiné lors de la lecture d'un fichier XML spécialement conçu ;
- CVE-2009-3720 un autre problème dans la bibliothèque Expat permet de provoquer un arrêt inopiné lors de la lecture d'un fichier XML spécialement conçu ;
- CVE-2010-1623 la fonction apr_brigade_split_line peut servir à un utilisateur malveillant pour épuiser la mémoire du serveur.
Solution
La version 2.2.17 d'Apache corrige ces problèmes.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de version Apache 2.2 du 19 octobre 2010 http://www.apache.org/dist/httpd/Announcement2.2.html
- Bulletin de sécurité Mandriva MDVSA-2010:192 du 02 octobre 2010 : http://www.mandriva.com/security/advisories?name=MDVSA-2010:192
- Bulletin de sécurité Sun du 26 novembre 2010 : http://blogs.sun.com/security/entry/cve_2010_1623_memory_leak
- Bulletins de sécurité Fedora FEDORA-2010-15916 et 15953 du 28 octobre 2010 : http://lists.fedoraproject.org/pipermail/package-announce/2010-October/049939.html
- Bulletins de sécurité Fedora FEDORA-2010-15916 et 15953 du 28 octobre 2010 : http://lists.fedoraproject.org/pipermail/package-announce/2010-October/049885.html
- Référence CVE CVE-2009-3560 https://www.cve.org/CVERecord?id=CVE-2009-3560
- Référence CVE CVE-2009-3720 https://www.cve.org/CVERecord?id=CVE-2009-3720
- Référence CVE CVE-2010-1623 https://www.cve.org/CVERecord?id=CVE-2010-1623
