Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERTA : Multiples vulnérabilités dans Apache

janvier 2008 par CERT-FR

1 Risque

* Injection de code indirecte (cross-site scripting) ;
* déni de service à distance.

2 Systèmes affectés

Apache, versions 1.3.39 et antérieures, 2.0.61 et antérieures, 2.2.6 et
antérieures.

3 Résumé

Plusieurs vulnérabilités dans le serveur HTTP Apache permettent à un
utilisateur malveillant de réaliser de l’injection de code indirecte ou de
provoquer un déni de service à distance.

4 Description

Une première vulnérabilité dans le module mod_imagemap permet, quand ce module
est activé et quand un fichier carte est public, de réaliser de l’injection de
code indirecte.

Une vulnérabilité dans le module mod_status, permet, quand ce module est activé
et que la page d’état est publique, de réaliser de l’injection de code
indirecte.

Une vulnérabilité dans le module mod_proxy_balancer permet, quand ce module est
activé, de réaliser de l’injection de code indirecte contre un utilisateur
autorisé.

Une deuxième vulnérabilité dans le module mod_proxy_balancer permet à un
utilisateur autorisé malveillant de provoquer un arrêt inopiné du serveur par
le biais d’une requête spécialement conçue.

5 Solution

Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs
(cf. section Documentation).

6 Documentation

* Document du CERTA CERTA-2007-AVI-560 du 24 décembre 2007 :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-AVI-560/index.html

* Bulletins de sécurité Apache :

http://httpd.apache.org/security/vulnerabilities_22.html

http://httpd.apache.org/security/vulnerabilities_20.html

http://httpd.apache.org/security/vulnerabilities_13.html

* Référence CVE CVE-2007-5000 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5000

* Référence CVE CVE-2007-6388 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6388

* Référence CVE CVE-2007-6421 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6421

* Référence CVE CVE-2007-6422 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6422


Voir les articles précédents

    

Voir les articles suivants