 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 08 novembre 2007
No CERTA-2007-AVI-339-002 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans Apache
Tableau 1: Gestion du document
| Référence |
CERTA-2007-AVI-339-002 |
| Titre |
Multiples
vulnérabilités dans Apache |
| Date de la première
version |
01 août 2007 |
| Date de la dernière
version |
08 novembre 2007 |
| Source(s) |
Bulletin de
sécurité Apache du 31 juillet
2007 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
Déni de service.
- Apache versions 1.3.37 et antérieures ;
- Apache versions 2.0.59 et antérieures ;
- Apache versions 2.2.4 et antérieures.
Plusieurs vulnérabilités sont présentes
dans Apache et permettent à un utilisateur
local de provoquer un déni de service et à un
utilisateur distant de conduire une attaque de type « Cross-Site Scripting ».
Trois vulnérabilités ont été
identifiées dans le serveur web Apache :
- Une première faille dans les modules
mod_status et mod_autoindex permet à
un utilisateur distant de conduire une attaque de type « Cross-Site Scripting »
;
- une seconde dans le composant MPM
(Multi-Processing Module) des versions 2.x de
Apache permet à un utilisateur local au
serveur de provoquer un arrêt inopiné de
Apache ;
- une dernière vulnérabilité dans le
module mod_cache permet à un utilisateur
malintentionné distant de provoquer un arrêt de
certains processus fils de Apache. Si le composant
MPM (Multi-Processing Module) est
utilisé, il est possible de provoquer un arrêt
complet de Apache.
Se référer aux bulletins de
sécurité des éditeurs pour l'obtention des
correctifs (cf. section Documentation).
- 01 août 2007
- version initiale.
- 22 août 2007
- ajout de la référence au bulletin de
sécurité Ubuntu.
- 07 novembre 2007
- ajout de la référence CVE-2007-4465 et de
la référence au bulletin de
sécurité Gentoo.
CERTA
2012-01-04
|
|
)
