{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Tout serveur web Apache (quel que soit le syst\u00e8me  d'exploitation) poss\u00e9dant la configuration suivante :</P>  <UL>    <LI><SPAN class=\"textit\">Apache</SPAN> versions 1.3.x,</LI>    <LI>module <SPAN class=\"textit\">Apache</SPAN> <SPAN class=\n    \"textit\">mod_jk</SPAN> version 1.2 dialoguant avec le serveur    web Java <SPAN class=\"textit\">Tomcat</SPAN> en version    4.x.</LI>  </UL>","content":"## Description\n\nLe module mod_jk n'interpr\u00e8te pas correctement la fonctionnalit\u00e9\n\u00abchunk-encoding\u00bb du protocole HTTP/1.1. Cette sp\u00e9cification est employ\u00e9e\nlorsque la taille des donn\u00e9es envoy\u00e9es au serveur n'est pas connue a\npriori.\n\nCela induit une d\u00e9-synchronisation entre les requ\u00eates envoy\u00e9es par le\nmodule et les r\u00e9ponses du serveur Tomcat. Des clients du serveur Apache\npeuvent ainsi recevoir les r\u00e9ponses destin\u00e9es \u00e0 d'autres. Par ailleurs,\nle module peut aller jusqu'\u00e0 saturer ses m\u00e9moires tampons et ne plus\noffrir aucun service.\n\n## Solution\n\nMettre \u00e0 jour le module mod_jk avec une version au moins \u00e9gale \u00e0 1.2.1 :\n\n    http://jakarta.apache.org/builds/jakarta-tomcat-connectors/jk/release/v1.2.1/\n","cves":[],"links":[{"title":"Avis de s\u00e9curit\u00e9 Qualys :","url":"http://archives.neohapsis.com/archives/bugtraq/2002-12/0045.html"}],"reference":"CERTA-2002-AVI-269","revisions":[{"description":"version initiale.","revision_date":"2002-12-16T00:00:00.000000"}],"risks":[{"description":"D\u00e9ni de service"},{"description":"Divulgations d'informations"}],"summary":"<span class=\"textit\">Tomcat</span> est un serveur web Java, d\u00e9velopp\u00e9\npar la fondation Apache, et permettant d'impl\u00e9menter les technologies\n<span class=\"textit\">Servlet</span> (appliquettes Java ex\u00e9cut\u00e9es sur le\nserveur) et <span class=\"textit\">JavaServer Pages</span>.\n\n<span class=\"textit\">mod_jk</span> est un module pour le serveur <span\nclass=\"textit\">Apache</span> permettant \u00e0 ce dernier de transmettre de\nfa\u00e7on transparente au moteur <span class=\"textit\">Tomcat</span> les\nrequ\u00eates correspondant aux technologies pr\u00e9cit\u00e9es.\n\nUne mauvaise gestion du protocole de communication par ce module permet\n\u00e0 un utilisateur mal intentionn\u00e9 de r\u00e9aliser un d\u00e9ni de service.\n","title":"Vuln\u00e9rabilit\u00e9 du module mod_jk du serveur web Apache","vendor_advisories":[{"published_at":null,"title":"Avis de s\u00e9curit\u00e9 Qualys QSA-2002-12-04","url":null}]}