Serveur HTTP Apache versions 2.0.35 \u00e0 2.0.48 avec le module mod_ssl activ\u00e9.
","content":"## Description\n\nUne mauvaise gestion de la m\u00e9moire dans le module mod_ssl permet \u00e0 un\nutilisateur mal intentionn\u00e9 de provoquer l'arr\u00eat brutal du serveur HTTP\nApache. \n\nCette vuln\u00e9rabilit\u00e9 peut \u00eatre exploit\u00e9e en envoyant des paquets HTTP sur\nle port du serveur HTTPS (le port par d\u00e9faut est le 443/tcp).\n\n## Contournement provisoire\n\nD\u00e9sactiver le module mod_ssl si ce dernier n'est pas n\u00e9cessaire. \n\nFiltrer le port 443/tcp sur les pare-feux pour limiter les attaques\nvenant de l'ext\u00e9rieur.\n\n## Solution\n\nLa version 2.0.49 corrige cette vuln\u00e9rabilit\u00e9. \n\nPour les versions actuelles, appliquer le correctif disponible \u00e0\nl'adresse suivante :\n\n http://cvs.apache.org/viewcvs.cgi/httpd-2.0/modules/ssl/ssl_engine_io.c?r1=1.100.2.11&r2=1.100.2.12\n","cves":[],"links":[{"title":"Correctifs int\u00e9gr\u00e9s \u00e0 la version 2.0.49 d'Apache : \n Bug du serveur HTTP Apache #27106 : http://nagoya.apache.org/bugzilla/show_bug.cgi?id=27106\n Avis de s\u00e9curit\u00e9 RedHat RHSA-2004:084-14 pour Red Hat Enterprise Linux : http://rhn.redhat.com/errata/RHSA-2004-084.html\n Avis de s\u00e9curit\u00e9 RedHat RHSA-2004:182 pour Red Hat Linux : http://rhn.redhat.com/errata/RHSA-2004-182.html\n Avis de s\u00e9curit\u00e9 GLSA 200403-04 : http://www.securityfocus.com/advisories/6472\n Bulletin de s\u00e9curit\u00e9 HPSBUX01022 pour HP-UX : http://www.securityfocus.com/advisories/6621\n Bulletin de s\u00e9curit\u00e9 MDKSA-2004:043 de Mandrake : http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:043\n Avis de s\u00e9curit\u00e9 FreeBSD du 08 mars 2004 : http://www.vuxml.org/freebsd/\n Mise \u00e0 jour de s\u00e9curit\u00e9 du paquetage NetBSD apache2 : ftp://ftp.netbsd.org/pub/NetBSD/packages/distfiles/vulnerabilities\n R\u00e9f\u00e9rence CVE CAN-2004-0113 : https://www.cve.org/CVERecord?id=CAN-2004-0113","url":"http://www.apache.org/dist/httpd/CHANGES_2.0"}],"reference":"CERTA-2004-AVI-079","revisions":[{"description":"version initiale.","revision_date":"2004-03-11T00:00:00.000000"},{"description":"premi\u00e8re r\u00e9vision : correction dans le lien du correctif.","revision_date":"2004-03-16T00:00:00.000000"},{"description":"sortie de la version 2.0.49 : ajout r\u00e9f\u00e9rence dans la section Documentation.","revision_date":"2004-03-22T00:00:00.000000"},{"description":"troisi\u00e8me r\u00e9vision : ajout de l'avis RedHat.","revision_date":"2004-03-24T00:00:00.000000"},{"description":"Ajout r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 de Gentoo.","revision_date":"2004-03-29T00:00:00.000000"},{"description":"Ajout r\u00e9f\u00e9rence au bulletin de Hewlett-Packard.","revision_date":"2004-04-27T00:00:00.000000"},{"description":"Ajout r\u00e9f\u00e9rence au bulletin RHSA-2004:182 pour red Hat Linux.","revision_date":"2004-04-30T00:00:00.000000"},{"description":"Ajout r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 FreeBSD et NetBSD.","revision_date":"2004-05-12T00:00:00.000000"}],"risks":[{"description":"D\u00e9ni de service"}],"summary":"Un utilisateur mal intentionn\u00e9 peut provoquer un d\u00e9ni de service sur un\nserveur HTTP Apache dont le module mod_ssl\nest activ\u00e9.\n","title":"Vuln\u00e9rabilit\u00e9 du serveur HTTP Apache","vendor_advisories":[{"published_at":null,"title":"Bug Apache #27106","url":null}]}