Un problème de sécurité affecte les versions suivantes de Ubuntu :
Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.
Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :
| Ubuntu 6.06 LTS : | |||
| apache2-common | 2.0.55-4ubuntu2.5 | ||
| apache2-mpm-perchild | 2.0.55-4ubuntu2.5 | ||
| apache2-mpm-prefork | 2.0.55-4ubuntu2.5 | ||
| apache2-mpm-worker | 2.0.55-4ubuntu2.5 | ||
| libapr0 | 2.0.55-4ubuntu2.5 | ||
| Ubuntu 8.04 LTS : | |||
| apache2-mpm-event | 2.2.8-1ubuntu0.8 | ||
| apache2-mpm-perchild | 2.2.8-1ubuntu0.8 | ||
| apache2-mpm-prefork | 2.2.8-1ubuntu0.8 | ||
| apache2-mpm-worker | 2.2.8-1ubuntu0.8 | ||
| apache2.2-common | 2.2.8-1ubuntu0.8 | ||
| Ubuntu 8.10 : | |||
| apache2-mpm-event | 2.2.9-7ubuntu3.1 | ||
| apache2-mpm-prefork | 2.2.9-7ubuntu3.1 | ||
| apache2-mpm-worker | 2.2.9-7ubuntu3.1 | ||
| apache2.2-common | 2.2.9-7ubuntu3.1 | ||
| Ubuntu 9.04 : | |||
| apache2-mpm-event | 2.2.11-2ubuntu2.1 | ||
| apache2-mpm-prefork | 2.2.11-2ubuntu2.1 | ||
| apache2-mpm-worker | 2.2.11-2ubuntu2.1 | ||
| apache2.2-common | 2.2.11-2ubuntu2.1 | ||
En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.
Détails :
Matthew Palmer a découvert un défaut d’alimentation de tampon dans apr-util qui est inclu dans Apache. Un attaquant pourrait causer un déni de service via un plantage d’application dans Apache à l’aide d’une directive SCVMasterURI ou d’un fichier .htaccess spécialement conçu, ou en utilisant mod_apreq2. Ce problème n’a affecté que Ubuntu 6.06 LTS. (CVE-2009-0023)
Sander de Boer a découvert que mod_proxy_ajp réutilisait les connexions lorsqu’un client fermait une connexion sans envoyer de requête. Un attaquant distant pourrait exploiter ceci pour récupérer des données sensibles. Ce problème n’a affecté que Ubuntu 9.04. (CVE-2009-1191)
Jonathan Peatfield a découvert que Apache ne traitait pas correctement les options Includes. Avec certaines configurations de Options et AllowOverride, un attaquant local pourrait utiliser un fichier .htaccess pour outrepasser des restrictions et exécuter du code arbitraire via un fichier Server Side Include. Ce problème a affecté Ubuntu 8.04 LTS, 8.10 et 9.04. (CVE-2009-1195)
Il a été découvert que l’analyseur XML ne gérait pas correctement l’expansion d’entité. Un attaquant distant pourrait causer un déni de service en consommant des ressources mémoire via l’envoi d’un message spécialement conçu à un serveur Apache configuré pour utiliser mod_dav ou mod_dav_svn. Ce problème n’a affecté que Ubuntu 6.06 LTS. (CVE-2009-1955)
C. Michael Pilato a découvert un dépassement de tampon dans apr-util lors du formatage de certaines chaînes de caractère. Sur les machines de type ‘big-endian’ (powerpc, hppa ou sparc sous Ubuntu), un attaquant distant pourrait causer un déni de service ou une fuite d’information. Toutes les autres architectures sous Ubuntu ne sont pas considérées comme à risque. Ce problème n’a affecté que Ubuntu 6.06 LTS. (CVE-2009-1956)
Origine : USN-787-1: Apache vulnerabilities (http://www.ubuntu.com/usn/usn-787-1)
Commentaires
Ecrire un commentaire Trackback