Risques
- Contournement de la politique de sécurité
- Déni de service à distance
Systèmes affectés
Module mod_dav_svn pour Apache HTTPD versions 1.5.0 à 1.6.16.
Résumé
Trois vulnérabilités ont été corrigées dans le module Subversion du serveur Apache. L'une d'entre-elles permet à un attaquant de réaliser un déni de service à distance.
Description
Plusieurs vulnérabilités ont été corrigées dans la version 1.6.17 du module Subversion mod_dav_svn pour le serveur Apache:
- un déréférencement de pointeur NULL permet à une personne malveillante d'arrêter le serveur de manière inopinée (CVE-2011-1752) ;
- dans certaines configurations du serveur, un attaquant peut réaliser un déni de service en utilisant des requêtes specialement conçues qui font entrer le programme dans une boucle infinie (CVE-2011-1783) ;
- dans certaines configurations du serveur, un utilisateur peut accéder au contenu des fichiers de manière illégitime (CVE-2011-1921).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Note de sécurité Apache Subversion n° CVE-2011-1752 : http://subversion.apache.org/security/CVE-2011-1752-advisory.txt
- Note de sécurité Apache Subversion n° CVE-2011-1783 : http://subversion.apache.org/security/CVE-2011-1783-advisory.txt
- Note de sécurité Apache Subversion n° CVE-2011-1921 : http://subversion.apache.org/security/CVE-2011-1921-advisory.txt
- Référence CVE CVE-2011-1752 https://www.cve.org/CVERecord?id=CVE-2011-1752
- Référence CVE CVE-2011-1783 https://www.cve.org/CVERecord?id=CVE-2011-1783
- Référence CVE CVE-2011-1921 https://www.cve.org/CVERecord?id=CVE-2011-1921
