Bulletin d'alerte Debian

DSA-2237-1 apr -- Déni de service

Date du rapport :
15 mai 2011
Paquets concernés :
apr
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2011-0419.
Plus de précisions :

Un défaut a été découvert dans la bibliothèque APR. Cela pourrait être exploité à l'aide du mod_autoindex d'Apache HTTPD. Si un répertoire indexé par mod_autoindex contient des fichiers avec des noms suffisamment longs, un attaquant distant pourrait envoyer une requête soigneusement contrefaite afin de provoquer une utilisation excessive du microprocesseur. Cela pourrait être utilisé dans une attaque par déni de service.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1.2.12-5+lenny3.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.4.2-6+squeeze1.

Pour la distribution testing (Wheezy), ce problème sera corrigé dans la version 1.4.4-1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.4.4-1.

Nous vous recommandons de mettre à jour vos paquets apr et de redémarrer votre serveur apache2.