USN-786-1 : Vulnérabilités dans apr-util
Un problème de sécurité affecte les versions suivantes de Ubuntu :
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.
Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :
| Ubuntu 8.04 LTS : | |||
| libaprutil1 | 1.2.12+dfsg-3ubuntu0.1 | ||
| Ubuntu 8.10 : | |||
| libaprutil1 | 1.2.12+dfsg-7ubuntu0.1 | ||
| Ubuntu 9.04 : | |||
| libaprutil1 | 1.2.12+dfsg-8ubuntu0.1 | ||
Après une mise à niveau standard du système vous devrez redémarrer tous les services qui utilisent apr-util, tels que Apache ou svnserve, pour apporter les modifications nécessaires.
Détails :
Matthew Palmer a découvert un défaut d’alimentation de tampon dans apr-util. Un attaquant pourrait causer un déni de service via un plantage d’application dans Apache à l’aide d’une directive SCVMasterURI ou d’un fichier .htaccess spécialement conçu, ou en utilisant mod_apreq2.mod_dav, mod_dav_svn Les applications qui utilisent libapreq2 sont également affectées. (CVE-2009-0023)
Il a été découvert que l’analyseur XML ne gérait pas correctement l’expansion d’entité. Un attaquant distant pourrait causer un déni de service en consommant des ressources mémoire via l’envoi d’un message spécialement conçu à un serveur Apache configuré pour utiliser mod_dav ou mod_dav_svn. (CVE-2009-1955)
C. Michael Pilato a découvert un dépassement de tampon dans apr-util lors du formatage de certaines chaînes de caractère. Sur les machines de type ‘big-endian’ (powerpc, hppa ou sparc sous Ubuntu), un attaquant distant pourrait causer un déni de service ou une fuite d’information. Toutes les autres architectures sous Ubuntu ne sont pas considérées comme à risque. (CVE-2009-1956)
Source : USN-786-1: apr-util vulnerabilities
