Risques
- Contournement de la politique de sécurité
- Déni de service
- Non spécifié par l'éditeur
Systèmes affectés
Apache HTTP Server toutes versions antérieures à 2.2.34
Résumé
De multiples vulnérabilités ont été corrigées dans Apache. Elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, un déni de service et un contournement de la politique de sécurité.
De plus, avec la sortie de cette version 2.2.34, Apache informe tous les utilisateurs de Apache HTTP Server que la version actuelle sera la dernière mise à jour apportée à la branche 2.2. Aucune nouvelle version 2.2 ne sera mise à disposition. De possibles mise à jour de sécurité seront rendues publiques jusqu'à décembre 2017. Apache encourage les utilisateurs à migrer sur la version 2.4 de HTTP Server (cf. section Documentation).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Apache du 11 juillet 2017 http://www.apache.org/dist/httpd/CHANGES_2.2.34
- Annonce Apache de sortie de version 2.2.34 http://www.apache.org/dist/httpd/Announcement2.2.html
- Référence CVE CVE-2017-3167 https://www.cve.org/CVERecord?id=CVE-2017-3167
- Référence CVE CVE-2017-3169 https://www.cve.org/CVERecord?id=CVE-2017-3169
- Référence CVE CVE-2017-7668 https://www.cve.org/CVERecord?id=CVE-2017-7668
- Référence CVE CVE-2017-7679 https://www.cve.org/CVERecord?id=CVE-2017-7679
