Objet: Multiples vulnérabilités du serveur HTTP Apache

Risque

• Exécution de code arbitraire à distance ;
• déni de service à distance.

Systèmes affectés

Version du serveur HTTP Apache 2.2.0 à 2.2.14.

Résumé

Des vulnérabilités multiples dans les versions du serveur Apache de la branche 2.2.0, antérieures à la version 2.2.15 permettent à un utilisateur malveillant d'exécuter du code à distance, ou de provoquer un déni de service.

Description

Plusieurs vulnérabilités dans les modules mod_isapi, mod_headers et mod_proxy_ajp permettent à un utilisateur malveillant de provoquer un déni de service ou d'exécuter du code à distance.

Solution

Installer la version 2.2.15 d'Apache HTTP serveur. La version 2.2.15 intégre la version à jour de la librairie OpenSSL 0.9.8m et corrige ainsi la vulnérabilité CVE-2009-3555.

Documentation

• Bulletin de sécurité RedHat RHSA-2010:0168-1 du 25 mars 2010 :

  http://rhn.redhat.com/errata/RHSA-2010-0168.html
  

• Bulletin de sécurité Ubuntu USN-908-1 du 10 mars 2010 :

  http://www.ubuntu.com/usn/USN-908-1
  

• Référence CVE CVE-2010-0425 :

  https://www.cve.org/CVERecord?id=CVE-2010-0425
  

• Référence CVE CVE-2010-0434 :

  https://www.cve.org/CVERecord?id=CVE-2010-0434
  

• Référence CVE CVE-2010-0408 :

  https://www.cve.org/CVERecord?id=CVE-2010-0408
  

• Référence CVE CVE-2009-3555 :

  https://www.cve.org/CVERecord?id=CVE-2009-3555
  

• Annonce de la version 2.2.15 du serveur APACHE :

  http://www.apache.org/dist/httpd/Announcement2.2.html
  

• Vulnérabilités du serveur HTTP APACHE 2.2 :

  http://httpd.apache.org/security/vulnerabilities_22.html