Risque
- Déni de service à distance ;
- contournement de la politique de sécurité.
Systèmes affectés
Les versions antérieures à Apache 2.2.14.
Résumé
Plusieurs vulnérabilités présentent dans Apache ont été corrigées. Ces vulnérabilités permettent de provoquer un déni de service à distance ou de contourner la politique de sécurité.
Description
Trois vulnérabilités ont été corrigées dans Apache :
- Deux vulnérabilités concernent le module mod_proxy_ftp. La première est de type pointeur nul et peut provoquer un déni de service par le biais d'un serveur FTP construit de manière particulière. La seconde permet à un attaquant d'envoyer des commandes FTP arbitraires en utilisant le serveur Apache en tant que serveur mandataire ;
- une troisième vulnérabilité concernant un bogue dans l'APR (Apache Portable Runtime) permet à un attaquant de provoquer un déni de service distant sur les serveurs Sun Solaris.
Solution
La version Apache 2.2.14 corrige ces vulnérabilités :
http://httpd.apache.org/download.cgi
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Liste des changements apportés à la version 2.2.14 de Apache :
http://httpd.apache.org/security/vulnerabilities_22.html
- Référence CVE CVE-2009-3094 :
https://www.cve.org/CVERecord?id=CVE-2009-3094
- Référence CVE CVE-2009-3095 :
https://www.cve.org/CVERecord?id=CVE-2009-3095
- Référence CVE CVE-2009-2699 :
https://www.cve.org/CVERecord?id=CVE-2009-2699