Bulletin d'alerte Debian

DSA-2298-2 apache2 -- Déni de service

Date du rapport :
5 septembre 2011
Paquets concernés :
apache2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2010-1452, CVE-2011-3192.
Plus de précisions :

Deux problèmes ont été découverts dans le serveur web Apache :

  • CVE-2011-3192

    Une vulnérabilité a été découverte dans la façon dont les divers types de chevauchements (overlapping) sont traités par le serveur web Apache. Cette vulnérabilité permet à un attaquant de forcer le démon Apache à utiliser une quantité de mémoire excessive, provoquant un déni de service.

  • CVE-2010-1452

    Une vulnérabilité a été découverte dans mod_dav qui permet à un attaquant de provoquer un plantage du démon, provoquant un déni de service. Ce problème ne concerne que la distribution oldstable, Debian 5.0 Lenny.

Pour la distribution oldstable (Lenny), ces problèmes ont été corrigés dans la version 2.2.9-10+lenny11.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.2.16-6+squeeze3.

Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 2.2.19-3.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.2.19-3.

Nous vous recommandons de mettre à jour vos paquets apache2.

Cette mise à jour contient également des paquets apache2-mpm-itk mis à jour qui ont été recompilés en cohérence avec les paquets apache2 mis à jour. Le nouveau numéro de version pour la distribution oldstable est 2.2.6-02-1+lenny6. Pour la distribution stable, apache2-mpm-itk a le même numéro de version qu'apache2.