Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-2989-1 apache2

Bulletin d'alerte Debian

DSA-2989-1 apache2 -- Mise à jour de sécurité

Date du rapport :

24 juillet 2014

Paquets concernés :

apache2

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-0118, CVE-2014-0226, CVE-2014-0231.

Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans le serveur HTTP Apache.

• CVE-2014-0118

  Le filtre d'entrée DEFLATE (qui gonfle les corps de requêtes) dans mod_deflate permet à des attaquants distants de provoquer un déni de service (consommation de ressources) grâce à une donnée de requête contrefaite qui se décompresse à une taille bien plus grande.

• CVE-2014-0226

  Une situation de compétition a été découverte dans mod_status. Un attaquant capable d'accéder à une page de statut public sur un serveur pourrait envoyer des requêtes minutieusement contrefaites qui pourraient conduire à un dépassement de tampon du tas, causant un déni de service, la divulgation d'information sensible, ou éventuellement l'exécution de code arbitraire.

• CVE-2014-0231

  Un défaut a été découvert dans mod_cgid. Si un serveur utilisant mod_cgid hébergeait des scripts CGI ne consommant pas l'entrée standard, un attaquant distant pourrait faire que les processus fils soient indéfiniment suspendus, menant à un déni de service.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 2.2.22-13+deb7u3.

Pour la distribution testing (Jessie), ces problèmes seront corrigés dans la version 2.4.10-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.4.10-1.

Nous vous recommandons de mettre à jour vos paquets apache2.