CERTA-2003-AVI-013
Vulnerability from certfr_avis - Published: - Updated:
Trois vulnérabilités ont été découvertes sur le serveur http Apache installé sur les plates-formes Windows.
Description
Un utilisateur distant mal intentionné peut, par le biais de requête contenant le nom d'un périphérique MS-DOS, réaliser un déni de service de la plate-forme sur laquelle se trouve le serveur http Apache.
Une seconde vulnérabilité permet, dans les mêmes conditions, d'exécuter du code arbitraire sur la machine cible.
Ces deux vulnérabilités ne sont exploitables que sur les plates-formes windows 98 ou windows ME.
La troisième vulnérabilité porte sur la non vérification de caractères spécifiques dans une requête qui permet à un utilisateur mal intentionné, par le biais de requêtes malicieusement construites, d'accèder à des fichiers non autorisés.
Solution
La version 2.0.44 corrige ces vulnérabilités.
Apache versions antérieures à la version 2.0.44 sur les plates-formes Windows.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cp\u003eApache versions ant\u00e9rieures \u00e0 la version 2.0.44 sur les plates-formes Windows.\u003c/p\u003e",
"content": "## Description\n\nUn utilisateur distant mal intentionn\u00e9 peut, par le biais de requ\u00eate\ncontenant le nom d\u0027un p\u00e9riph\u00e9rique MS-DOS, r\u00e9aliser un d\u00e9ni de service\nde la plate-forme sur laquelle se trouve le serveur http Apache.\n\nUne seconde vuln\u00e9rabilit\u00e9 permet, dans les m\u00eames conditions, d\u0027ex\u00e9cuter\ndu code arbitraire sur la machine cible.\n\nCes deux vuln\u00e9rabilit\u00e9s ne sont exploitables que sur les plates-formes\nwindows 98 ou windows ME.\n\nLa troisi\u00e8me vuln\u00e9rabilit\u00e9 porte sur la non v\u00e9rification de caract\u00e8res\nsp\u00e9cifiques dans une requ\u00eate qui permet \u00e0 un utilisateur mal\nintentionn\u00e9, par le biais de requ\u00eates malicieusement construites,\nd\u0027acc\u00e8der \u00e0 des fichiers non autoris\u00e9s.\n\n## Solution\n\nLa version 2.0.44 corrige ces vuln\u00e9rabilit\u00e9s.\n",
"cves": [],
"links": [
{
"title": "Avis sur le site Apache :",
"url": "http://httpd.apache.org/dist/httpd/Announcement2.html"
}
],
"reference": "CERTA-2003-AVI-013",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2003-01-24T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire"
},
{
"description": "D\u00e9ni de service"
},
{
"description": "Acc\u00e8s non-autoris\u00e9 \u00e0 des fichiers du syst\u00e8me"
}
],
"summary": "Trois vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes sur le serveur http Apache\ninstall\u00e9 sur les plates-formes Windows.\n",
"title": "Vuln\u00e9rabilit\u00e9 sur le serveur http Apache",
"vendor_advisories": [
{
"published_at": null,
"title": "Liste de diffusion Bugtraq",
"url": null
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.