Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Apache mod_proxy Interim Responses : Déni de Service

11/06/2008 10H17
Référence Secunia : SA30621 
Date de publication : 2008-06-11

Risque : Non Critique. Niveau 2 sur 5.
Impact : DoS
Lieu : A distance


Solutions :
Solution de l'éditeur


Produit :
Apache 2.0.x
Apache 2.2.x

Référence CVE :
CVE-2008-2364



Description :
Une vulnérabilité a été rapportée dans le module Apache mod_proxy, qui pourrait être exploitée par des personnes malintentionnées pour causer un Déni de Service (DoS).

La vulnérabilité est causée du fait d'une erreur dans la fonction "ap_proxy_http_process_response()" en transférant des réponses intérimaires. Cela pourrait être exploité pour consommer une grande quantité de mémoire en poussant mod_proxy à envoyer un très grand nombre de réponses intérimaires au client.

La vulnérabilité est rapportée en versions 2.2.8 et 2.0.63. Les autres versions pourraient également être affectées.


Solutions :
Corrigé dans le repository SVN.
http://svn.apache.org/viewvc/httpd/httpd/trunk/modules/proxy/mod_proxy_http.c?r1=666154&r2=666153&pathrev=666154

Restrict proxy accéder à de confiance users seulement.


Vulnérabilité découverte par :

L'éditeur crédite Ryujiro Shibuya.

Référence :
http://svn.apache.org/viewvc/httpd/httpd/trunk/CHANGES?r1=666154&r2=666153&pathrev=666154




Veuillez noter : Le information que ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.