 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 19 juin 2009
No CERTA-2009-AVI-244 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités de APR-util
Tableau 1: Gestion du document
| Référence |
CERTA-2009-AVI-244 |
| Titre |
Multiples
vulnérabilités de APR-util |
| Date de la première
version |
19 juin 2009 |
| Date de la dernière
version |
- |
| Source(s) |
Liste des changements
apportés à la version 1.3.7 de
APR-util |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Déni de service à distance ;
- atteinte à la confidentialité des
données.
- toutes les versions de APR-util antérieures
à 1.3.5 : CVE-2009-0023 et CVE-2009-1956 ;
- toutes les versions de APR-util antérieures
à 1.3.7 : CVE-2009-1955.
Plusieurs vulnérabilités présentes dans
APR-util permettent à un utilisateur distant de
provoquer un déni de service ou de porter atteinte
à la confidentialité de certaines données.
APR-util (Apache Portable Runtime) est une
bibliothèque de fonctions constituant un socle commun et
multi-platforme d'outils sur lesquels s'appuie le serveur Web
Apache pour fonctionner. Trois
vulnérabilités sont présentes dans cette
bibliothèque :
- La première (CVE-2009-1955) est relative à
la manipulation des fichiers au format XML et permet
à un utilisateur distant de provoquer un déni
de service par le biais d'un fichier XML particulier
;
- la seconde (CVE-2009-0023) concerne la fonction apr_strmatch_precompile() et permet
à un utilisateur distant de provoquer un déni
de service ;
- la dernière (CVE-2009-1956) est présente
dans la fonction apr_brigade_vprintf() et permet à un
utilisateur distant de provoquer un déni de service ou
d'obtenir un contenu partiel de la mémoire.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 19 juin 2009
- version initiale.
CERTA
2012-01-04
|
|
)
