USN-802-2 : Régression dans Apache
Un problème de sécurité affecte les versions suivantes de Ubuntu :
Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.
Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :
| Ubuntu 6.06 LTS : | |||
| apache2-common | 2.0.55-4ubuntu2.8 | ||
| apache2-mpm-perchild | 2.0.55-4ubuntu2.8 | ||
| apache2-mpm-prefork | 2.0.55-4ubuntu2.8 | ||
| apache2-mpm-worker | 2.0.55-4ubuntu2.8 | ||
| libapr0 | 2.0.55-4ubuntu2.8 | ||
| Ubuntu 8.04 LTS : | |||
| apache2-mpm-event | 2.2.8-1ubuntu0.11 | ||
| apache2-mpm-perchild | 2.2.8-1ubuntu0.11 | ||
| apache2-mpm-prefork | 2.2.8-1ubuntu0.11 | ||
| apache2-mpm-worker | 2.2.8-1ubuntu0.11 | ||
| apache2.2-common | 2.2.8-1ubuntu0.11 | ||
| Ubuntu 8.10 : | |||
| apache2-mpm-event | 2.2.9-7ubuntu3.3 | ||
| apache2-mpm-prefork | 2.2.9-7ubuntu3.3 | ||
| apache2-mpm-worker | 2.2.9-7ubuntu3.3 | ||
| apache2.2-common | 2.2.9-7ubuntu3.3 | ||
| Ubuntu 9.04 : | |||
| apache2-mpm-event | 2.2.11-2ubuntu2.3 | ||
| apache2-mpm-prefork | 2.2.11-2ubuntu2.3 | ||
| apache2-mpm-worker | 2.2.11-2ubuntu2.3 | ||
| apache2.2-common | 2.2.11-2ubuntu2.3 | ||
En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.
Détails :
USN-802-1 corrigeait des vulnérabilités dans Apache. Le correctif en amont pour CVE-2009-1891 a introduit une régression qui pourrait entraîner une faute de segmentation dans un processus fils d’Apache lorsque mod_deflate est utilisé. Cette mise à jour corrige le problème.
Veuillez nous excuser pour le désagrément.
Détails de la notification initiale :
Il a été decouvert que mod_proxy_http ne gérait pas correctement les flux contenant de données volumineux lorsqu’il était utilisé en tant que serveur mandataire inverse. Un attaquant distant pourrait exploiter ceci et causer un déni de service en consommant les ressources mémoire. Ce problème a affecté Ubuntu 8.04 LTS, 8.10 et 9.04. (CVE-2009-1890)
Il a été découvert que mod_deflate n’abandonnait pas la compression de fichiers volumineux lorsque le connexion était fermée. Un attaquant distant pourrait exploiter ceci et causer un déni de service en consommant les ressources CPU. (CVE-2009-1891)
Source : USN-802-2: Apache regression
