Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Apache Space Headers : Vulnérabilité de Déni de Service

22/01/2007 03H28
Référence Secunia : SA13045 
Date de publication : 2004-11-03
Dernière mise à jour : 2005-02-08

Risque : Non Critique. Niveau 2 sur 5.
Impact : DoS
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Apache 2.0.x

Référence CVE :
CVE-2004-0942


Description :
Chintan Trivedi a découvert une vulnérabilité dans Apache, qui pourrait être exploitée par des personnes malintentionnées pour causer un Déni de Service (DoS).

La vulnérabilité est causée du fait d'une erreur dans le parsing routine pour headers avec une grande quantité de spaces. Cela pourrait être exploité en envoyant quelques des requêtes spécialement conçues avec une grande quantité de overly de longs entêtes contenant seulement spaces.

L'exploitation de ce problème peut entrainer le serveur à devenir unreachable et use a une grande partie des ressources CPU, mais va regagner fonctionnalité une fois que le attack stops.

La vulnérabilité a été confirmée on version 2.0.52 faisant tourner Linux. Les autres versions pourraient également être affectées.


Solutions :
Mettre à jour en version 2.0.53.
http://httpd.apache.org/download.cgi


Vulnérabilité découverte par :

Chintan Trivedi
Historique :
2004-11-04: Référence CVE ajoutée et mise à jour the "Solution" section.
2005-02-08: Section "Solution" mise à jour.

Référence :
http://www.apache.org/dist/httpd/CHANGES_2.0.53






Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.