IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Apache Discussion :

Apache HTTP Server 2.2.19 corrige une nouvelle vulnérabilité de Déni de Service


Sujet :

Apache

  1. #1
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : juin 2010
    Messages : 1 374
    Points : 68 508
    Points
    68 508
    Par défaut Apache HTTP Server 2.2.19 corrige une nouvelle vulnérabilité de Déni de Service
    Apache HTTP Server 2.2.19 corrige une nouvelle vulnérabilité de Déni de Service
    La version 2.3.12 passe en bêta



    La mise à jour de sécurité 2.2.18 du serveur HTTP Apache sortie plutôt ce mois pour corriger une faille DoS (déni de service) semble avoir créer une régression similaire, de dangerosité modérée, ayant amené au lancement d'une deuxième version de patch ce mois.

    Cette nouvelle vulnérabilité, comme la précédente ne se manifeste que si le module mod_autoindex est en marche. Il s'agit d'un module activé par défaut sur la plupart des installations, destiné à générer automatiquement la liste des fichiers et répertoires d'un dossier qui ne dispose pas d'un fichier index.

    La faille se situe plus précisément dans la version 1.4.4 de la bibliothèque Apache Portable Runtime. APR offre un ensemble d'APIs pour simuler les commandes inexistantes ou cacher les divergences entre le comportement des commandes fournies par le système d'exploitation sous-jacent (comme, par exemple, la différence entre les commandes LS et DIR entre xNIX et Windows)

    Cette vulnérabilité peut entrainer les processus Httpd dans un état de saturation de l'utilisation CPU suite à l'appel de apr_fnmatch(). Cette fonction est chargée de vérifier si une chaine de caractère correspond avec un motif donné, qui peut contenir des caractères génériques.

    La nouvelle version corrigée de APR peut être téléchargée séparément par les développeurs qui l'utilisent pour d'autres projets.

    Les utilisateurs des versions 2.2.17 ou antérieures peuvent contourner ces deux vulnérabilités sans mettre à jour leur serveur Apache en activant l'option IgnoreClient des IndexOptions.

    Apache HTTP Server 2.2.19 corrige une autre régression, due au changement involontaire de la signature de ap_unescape_url_keep2f ayant rompu la compatibilité avec les binaires de certains modules tiers.

    Par la même occasion, la fondation Apache sort la deuxième bêta de Apache HTTTP Server 2.3.12, qui offre une vue d'ensemble sur les améliorations prévues pour la future branche 2.4 du serveur Web le plus utilisé au monde.

    La branche de développement 2.3.x contient d'après la fondation « les nouvelles technologies et fonctionnalités qui sont incompatibles, ou trop importantes pour être intégrés à la branche stable 2.2.x »

    Parmi ces nouveautés, Apache cite entre autres, la possibilité d'attribuer des valeurs en millisecondes pour KeepAliveTimeout, créer des fichiers journaux par répertoire ou par module et une amélioration du support de la lecture/écriture asynchrone.




    Ces versions sont disponibles en téléchargement sur cette page

    Source : Release Notes de la branche 2.2, annonce de la version 2.3 bêta

    Et vous ?

    Allez-vous mettre à jour votre serveur Apache ?

  2. #2
    Membre régulier
    Homme Profil pro
    Étudiant
    Inscrit en
    août 2010
    Messages
    86
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Vienne (Limousin)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Service public

    Informations forums :
    Inscription : août 2010
    Messages : 86
    Points : 84
    Points
    84
    Par défaut
    Pour ma part, j'ai un ptit serveur perso sur Lenny à la maison, peut être que ne risque pas beaucoup vu le traffic, mais je pense que je vais appliquer le patch.

Discussions similaires

  1. Réponses: 6
    Dernier message: 20/11/2011, 18h20
  2. Réponses: 0
    Dernier message: 25/05/2011, 12h25
  3. Apache HTTP server et OpenSSL
    Par Remedy dans le forum Apache
    Réponses: 4
    Dernier message: 03/07/2009, 10h14
  4. Plantage avec Apache HTTP Server
    Par yosraisi dans le forum Apache
    Réponses: 11
    Dernier message: 21/05/2008, 16h16
  5. Upload et Dowload sur Apache HTTP Server
    Par bellemlih dans le forum Windows Serveur
    Réponses: 0
    Dernier message: 04/03/2008, 12h14

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo