 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 09 février
2011
No CERTA-2010-AVI-550-002 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilités dans
IBM HTTP Server et WebSphere
Tableau 1: Gestion du document
| Référence |
CERTA-2010-AVI-550-002 |
| Titre |
Vulnérabilités
dans IBM HTTP Server et WebSphere |
| Date de la première
version |
15 novembre 2010 |
| Date de la dernière
version |
09 février 2011 |
| Sources |
Bulletin de
sécurité IBM swg1PM24234 du 19
octobre 2010 |
| |
Bulletin de
sécurité IBM swg1PM25599 du 10
novembre 2010 |
| |
Bulletin de
sécurité IBM swg1PM31601 du 02
février 2011 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
Déni de service à distance.
- IBM HTTP Server 6.1.0.x ;
- IBM HTTP Server 7.0.0.x ;
- IBM WebSphere 6.1.0 sur plateforme z/OS ;
- IBM WebSphere 7.0.0 sur plateforme z/OS.
Plusieurs vulnérabilités des serveurs HTTP d'IBM
permettent à un utilisateur malveillant de provoquer un
déni de service à distance.
Les serveurs HTTP d'IBM présentent plusieurs
vulnérabilités :
- s'il est activé, le module mod_dav peut provoquer un arrêt
inopiné du serveur lors du traitement d'une
requête HTTP mal formée ;
- une erreur dans la bibliothèque d'exécution
Apache (APR) permet à un utilisateur malveillant
distant d'épuiser toute la mémoire
disponible ;
- deux vulnérabilités de la
bibliothèque Expat permettent de provoquer un
arrêt inopiné du serveur.
Les correctifs 6.1.0.35 et 7.0.0.15 résolvent ces
problèmes.
Se référer aux bulletins de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 15 novembre 2010
- version initiale.
- 17 novembre 2010
- ajout des serveurs HTTP hors WebSphere.
- 09 février 2011
- ajout de WebSphere 7.x.
CERTA
2012-01-04
|
|
)
