Objet: Multiples vulnérabilités dans Apache

Risque

Déni de service.

Systèmes affectés

• Apache versions 1.3.37 et antérieures ;
• Apache versions 2.0.59 et antérieures ;
• Apache versions 2.2.4 et antérieures.

Résumé

Plusieurs vulnérabilités sont présentes dans Apache et permettent à un utilisateur local de provoquer un déni de service et à un utilisateur distant de conduire une attaque de type « Cross-Site Scripting ».

Description

Trois vulnérabilités ont été identifiées dans le serveur web Apache :

• Une première faille dans les modules mod_status et mod_autoindex permet à un utilisateur distant de conduire une attaque de type « Cross-Site Scripting » ;
• une seconde dans le composant MPM (Multi-Processing Module) des versions 2.x de Apache permet à un utilisateur local au serveur de provoquer un arrêt inopiné de Apache ;
• une dernière vulnérabilité dans le module mod_cache permet à un utilisateur malintentionné distant de provoquer un arrêt de certains processus fils de Apache. Si le composant MPM (Multi-Processing Module) est utilisé, il est possible de provoquer un arrêt complet de Apache.

Solution

Se référer aux bulletins de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletins de sécurité Apache du 31 juillet 2007 :

  http://httpd.apache.org/security/vulnerabilities_22.html
  

  http://httpd.apache.org/security/vulnerabilities_20.html
  

  http://httpd.apache.org/security/vulnerabilities_13.html
  

• Bulletin de sécurité Gentoo GLSA-200711-06 du 07 novembre 2007 :

  http://www.gentoo.org/security/en/glsa/glsa-200711-06.xml
  

• Bulletin de sécurité Mandriva MDKSA-2007:140 du 04 juillet 2007 :

  http://www.mandriva.com/security/advisories?name=MDKSA-2007:140
  

• Bulletin de sécurité Mandriva MDKSA-2007:141 du 04 juillet 2007 :

  http://www.mandriva.com/security/advisories?name=MDKSA-2007:141
  

• Bulletin de sécurité Mandriva MDKSA-2007:142 du 04 juillet 2007 :

  http://www.mandriva.com/security/advisories?name=MDKSA-2007:142
  

• Bulletin de sécurité RedHat RHSA-2007:0533 du 26 juillet 2007 :

  http://rhn.redhat.com/errata/RHSA-2007-0533.html
  

• Bulletin de sécurité RedHat RHSA-2007:0534 du 26 juillet 2007 :

  http://rhn.redhat.com/errata/RHSA-2007-0534.html
  

• Bulletin de sécurité RedHat RHSA-2007:0556 du 26 juillet 2007 :

  http://rhn.redhat.com/errata/RHSA-2007-0556.html
  

• Bulletin de sécurité RedHat RHSA-2007:0662 du 26 juillet 2007 :

  http://rhn.redhat.com/errata/RHSA-2007-0662.html
  

• Bulletin de sécurité Ubuntu USN-499-1 du 16 août 2007 :

  http://www.ubuntu.com/usn/usn-499-1
  

• Référence CVE CVE-2006-5752 :

  https://www.cve.org/CVERecord?id=CVE-2006-5752
  

• Référence CVE CVE-2007-1863 :

  https://www.cve.org/CVERecord?id=CVE-2007-1863
  

• Référence CVE CVE-2007-3304 :

  https://www.cve.org/CVERecord?id=CVE-2007-3304
  

• Référence CVE CVE-2007-4465 :

  https://www.cve.org/CVERecord?id=CVE-2007-4465