{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Apache HTTP Server versions inf\u00e9rieures  \u00e0 2.2.22.","product":{"name":"HTTP Server","vendor":{"name":"Apache","scada":false}}}],"affected_systems_content":"","content":"## Description\n\nPlusieurs vuln\u00e9rabilit\u00e9s existent dans Apache HTTP Server. Elles\npermettent \u00e0 un utilisateur malintentionn\u00e9 de porter atteinte \u00e0 la\nconfidentialit\u00e9 des donn\u00e9es, causer un d\u00e9ni de service et d'\u00e9lever ses\nprivil\u00e8ges. La liste ci-dessous fournit le d\u00e9tail de ces vuln\u00e9rabilit\u00e9s\n:\n\n-   CVE-2011-3368 : une erreur dans la gestion d'URI mal form\u00e9es par le\n    module mod_proxy permet \u00e0 une personne malintentionn\u00e9e d'envoyer des\n    requ\u00eates \u00e0 des machines du r\u00e9seau interne depuis l'ext\u00e9rieur ;\n-   CVE-2011-3607 : la fonction ap_pregsub, lorsque le module\n    mod_setenvif est activ\u00e9, est vuln\u00e9rable \u00e0 un d\u00e9passement d'entier\n    permettant \u00e0 un utilisateur malintentionn\u00e9 d'\u00e9lever ses privil\u00e8ges ;\n-   CVE-2011-4317 : cette vuln\u00e9rabilit\u00e9 permet \u00e0 un utilisateur\n    malintentionn\u00e9 d'acc\u00e9der \u00e0 des machines du r\u00e9seau interne depuis\n    l'ext\u00e9rieur.\n-   CVE-2012-0021 : mod_log_config ne g\u00e8re pas correctement certains\n    cookies, ce qui peut conduire \u00e0 un arr\u00eat inopin\u00e9 du service Apache.\n-   CVE-2012-0031 : un probl\u00e8me dans la gestion des segments de m\u00e9moire\n    partag\u00e9e peut conduire \u00e0 un d\u00e9ni de service local.\n-   CVE-2012-0053 : lorsqu'aucune page personnalis\u00e9e n'est d\u00e9finie pour\n    le code d'erreur 400, il est possible d'obtenir les cookies\n    httpOnly.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2012-0053","url":"https://www.cve.org/CVERecord?id=CVE-2012-0053"},{"name":"CVE-2012-0021","url":"https://www.cve.org/CVERecord?id=CVE-2012-0021"},{"name":"CVE-2012-0031","url":"https://www.cve.org/CVERecord?id=CVE-2012-0031"},{"name":"CVE-2011-3607","url":"https://www.cve.org/CVERecord?id=CVE-2011-3607"},{"name":"CVE-2011-3368","url":"https://www.cve.org/CVERecord?id=CVE-2011-3368"},{"name":"CVE-2011-4317","url":"https://www.cve.org/CVERecord?id=CVE-2011-4317"}],"links":[],"reference":"CERTA-2012-AVI-050","revisions":[{"description":"version initiale.","revision_date":"2012-02-02T00:00:00.000000"}],"risks":[{"description":"D\u00e9ni de service \u00e0 distance"},{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"},{"description":"\u00c9l\u00e9vation de privil\u00e8ges"}],"summary":"Plusieurs vuln\u00e9rabilit\u00e9s permettant de porter atteinte \u00e0 la\nconfidentialit\u00e9 des donn\u00e9es, causer un d\u00e9ni de service et d'\u00e9lever ses\nprivil\u00e8ges sont pr\u00e9sentes dans <span class=\"textit\">Apache HTTP\nServer</span>.\n","title":"Vuln\u00e9rabilit\u00e9s dans Apache","vendor_advisories":[{"published_at":"2012-01-31","title":"Bulletin de s\u00e9curit\u00e9 Apache","url":"http://mail-archives.apache.org/mod_mbox/httpd-announce/201201.mbox/<4F286C70.9040705@apache.org>"}]}