Serveur HTTP Apache versions 1.3.x ant\u00e9rieures \u00e0 la version 1.3.26 incluse.
Serveur HTTP Oracle (OHS) pr\u00e9sent dans les produits suivants :
Oracle Database versions 8.1.7, 9.0.1.x et 9.2.x ;
Oracle9i Application Server versions 1.0.2.x et 9.0.2.x.
","content":"## Description\n\nLa premi\u00e8re vuln\u00e9rabilit\u00e9 concerne la table de m\u00e9moire partag\u00e9e. Un\nutilisateur ayant les privil\u00e8ges de l'utilisateur apache peut exploiter\ncette vuln\u00e9rabilit\u00e9 localement pour provoquer un d\u00e9ni de service. \n\nLa deuxi\u00e8me vuln\u00e9rabilit\u00e9 est une vuln\u00e9rabilit\u00e9 de type cross site\nscripting. Elle peut \u00eatre exploit\u00e9e \u00e0 travers la page d'erreur 404 par\nd\u00e9faut, sur tout syt\u00e8me dans un domaine qui autorise les r\u00e9solutions DNS\navec des m\u00e9tacaract\u00e8res. \n\nLa troisi\u00e8me vuln\u00e9rabilit\u00e9, de type d\u00e9bordement de m\u00e9moire, concerne le\nfichier ab.c. Cette vuln\u00e9rabilit\u00e9 peut \u00eatre exploit\u00e9e \u00e0 distance par un\nutilisateur mal intentionn\u00e9 afin de r\u00e9aliser une \u00e9l\u00e9vation de\nprivil\u00e8ges.\n\n## Solution\n\nLa version 1.3.27 du serveur Apache corrige ces vuln\u00e9rabilit\u00e9s. \n\nNota : les versions 1.2 du serveur Apache ne sont plus maintenues.\n\nLes versions 1.3 ont \u00e9t\u00e9 con\u00e7ues pour les syst\u00e8mes Unix. Dans le cas\nd'une autre plate-forme, il est fortement recommand\u00e9 d'installer les\nversions 2.0. \n\nDes correctifs sont disponibles pour le serveur HTTP Oracle (cf. Section\nDocumentation).\n","cves":[],"links":[],"reference":"CERTA-2002-AVI-224","revisions":[{"description":"version initiale.","revision_date":"2002-10-11T00:00:00.000000"},{"description":"premi\u00e8re r\u00e9vision : ajout du serveur HTTP Oracle.","revision_date":"2002-10-15T00:00:00.000000"}],"risks":[{"description":"Injection de code indirecte \u00e0 distance (XSS)"},{"description":"D\u00e9ni de service"},{"description":"\u00c9l\u00e9vation de privil\u00e8ges"}],"summary":"Trois vuln\u00e9rabilit\u00e9s des serveurs HTTP Apache et Oracle peuvent \u00eatre\nexploit\u00e9es pour provoquer un d\u00e9ni de service, injecter des scripts\nmalicieux, ou r\u00e9aliser une \u00e9l\u00e9vation de privil\u00e8ges.\n","title":"Vuln\u00e9rabilit\u00e9s des serveurs HTTP Apache et Oracle","vendor_advisories":[{"published_at":null,"title":"Avis de s\u00e9curit\u00e9 Apache","url":"http://www.apache.org/dist/httpd/Announcement.html"},{"published_at":null,"title":"Avis de s\u00e9curit\u00e9 Oracle","url":null}]}