Multiples vulnérabilités dans Apache

Gestion du document

Référence	CERTA-2009-AVI-424
Titre	Multiples vulnérabilités dans Apache
Date de la première version	07 octobre 2009
Date de la dernière version	07 octobre 2009
Source(s)	Liste des changements apportés à la version 2.2.14 de Apache
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Déni de service à distance ;
contournement de la politique de sécurité.

Systèmes affectés

Les versions antérieures à Apache 2.2.14.

Résumé

Plusieurs vulnérabilités présentent dans Apache ont été corrigées. Ces vulnérabilités permettent de provoquer un déni de service à distance ou de contourner la politique de sécurité.

Description

Trois vulnérabilités ont été corrigées dans Apache :

Deux vulnérabilités concernent le module mod_proxy_ftp. La première est de type pointeur nul et peut provoquer un déni de service par le biais d'un serveur FTP construit de manière particulière. La seconde permet à un attaquant d'envoyer des commandes FTP arbitraires en utilisant le serveur Apache en tant que serveur mandataire ;
une troisième vulnérabilité concernant un bogue dans l'APR (Apache Portable Runtime) permet à un attaquant de provoquer un déni de service distant sur les serveurs Sun Solaris.

Solution

La version Apache 2.2.14 corrige ces vulnérabilités :

http://httpd.apache.org/download.cgi

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Liste des changements apportés à la version 2.2.14 de Apache :
```
http://httpd.apache.org/security/vulnerabilities_22.html
```

Référence CVE CVE-2009-3094 :

https://www.cve.org/CVERecord?id=CVE-2009-3094

Référence CVE CVE-2009-3095 :

https://www.cve.org/CVERecord?id=CVE-2009-3095

Référence CVE CVE-2009-2699 :

https://www.cve.org/CVERecord?id=CVE-2009-2699

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Apache