CERTA-2009-AVI-244
Vulnerability from certfr_avis

Plusieurs vulnérabilités présentes dans APR-util permettent à un utilisateur distant de provoquer un déni de service ou de porter atteinte à la confidentialité de certaines données.

Description

APR-util (Apache Portable Runtime) est une bibliothèque de fonctions constituant un socle commun et multi-platforme d'outils sur lesquels s'appuie le serveur Web Apache pour fonctionner. Trois vulnérabilités sont présentes dans cette bibliothèque :

  • La première (CVE-2009-1955) est relative à la manipulation des fichiers au format XML et permet à un utilisateur distant de provoquer un déni de service par le biais d'un fichier XML particulier ;
  • la seconde (CVE-2009-0023) concerne la fonction apr_strmatch_precompile() et permet à un utilisateur distant de provoquer un déni de service ;
  • la dernière (CVE-2009-1956) est présente dans la fonction apr_brigade_vprintf() et permet à un utilisateur distant de provoquer un déni de service ou d'obtenir un contenu partiel de la mémoire.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

None
Impacted products
Vendor Product Description
N/A N/A toutes les versions de APR-util antérieures à 1.3.7 : CVE-2009-1955.
N/A N/A toutes les versions de APR-util antérieures à 1.3.5 : CVE-2009-0023 et CVE-2009-1956 ;
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "toutes les versions de APR-util ant\u00e9rieures \u00e0 1.3.7 : CVE-2009-1955.",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    },
    {
      "description": "toutes les versions de APR-util ant\u00e9rieures \u00e0 1.3.5 : CVE-2009-0023 et CVE-2009-1956 ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Description\n\nAPR-util (Apache Portable Runtime) est une biblioth\u00e8que de fonctions\nconstituant un socle commun et multi-platforme d\u0027outils sur lesquels\ns\u0027appuie le serveur Web Apache pour fonctionner. Trois vuln\u00e9rabilit\u00e9s\nsont pr\u00e9sentes dans cette biblioth\u00e8que :\n\n-   La premi\u00e8re (CVE-2009-1955) est relative \u00e0 la manipulation des\n    fichiers au format XML et permet \u00e0 un utilisateur distant de\n    provoquer un d\u00e9ni de service par le biais d\u0027un fichier XML\n    particulier ;\n-   la seconde (CVE-2009-0023) concerne la fonction\n    apr_strmatch_precompile() et permet \u00e0 un utilisateur distant de\n    provoquer un d\u00e9ni de service ;\n-   la derni\u00e8re (CVE-2009-1956) est pr\u00e9sente dans la fonction\n    apr_brigade_vprintf() et permet \u00e0 un utilisateur distant de\n    provoquer un d\u00e9ni de service ou d\u0027obtenir un contenu partiel de la\n    m\u00e9moire.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2009-0023",
      "url": "https://www.cve.org/CVERecord?id=CVE-2009-0023"
    },
    {
      "name": "CVE-2009-1956",
      "url": "https://www.cve.org/CVERecord?id=CVE-2009-1956"
    },
    {
      "name": "CVE-2009-1955",
      "url": "https://www.cve.org/CVERecord?id=CVE-2009-1955"
    }
  ],
  "initial_release_date": "2009-06-19T00:00:00",
  "last_revision_date": "2009-06-19T00:00:00",
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Mandriva MDVSA-2009:131 du 06 juin    2009 :",
      "url": "http://www.mandriva.com/archives/security/advisories"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Ubuntu USN-786-1 du 10 juin 2009 :",
      "url": "http://www.ubuntulinux.org/usn/usn-786-1"
    },
    {
      "title": "liste des changements apport\u00e9s aux versions 1.3.5 et 1.3.7    de APR-util :",
      "url": "http://www.apache.org/dist/apr/CHANGES-APR-UTIL-1.3"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Debian DSA 1812 du 04 juin 2009 :",
      "url": "http://www.debian.org/security/2009/dsa-1812"
    }
  ],
  "reference": "CERTA-2009-AVI-244",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2009-06-19T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "D\u00e9ni de service \u00e0 distance"
    },
    {
      "description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
    }
  ],
  "summary": "Plusieurs vuln\u00e9rabilit\u00e9s pr\u00e9sentes dans APR-util permettent \u00e0 un\nutilisateur distant de provoquer un d\u00e9ni de service ou de porter\natteinte \u00e0 la confidentialit\u00e9 de certaines donn\u00e9es.\n",
  "title": "Multiples vuln\u00e9rabilit\u00e9s de APR-util",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Liste des changements apport\u00e9s \u00e0 la version 1.3.7 de APR-util",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.