IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Apache HTTP Server 2.2.19 corrige une nouvelle vulnérabilité de déni de service
La version 2.3.12 passe en bêta

Le , par Idelways
1 commentaire

44PARTAGES

1  0 
La mise à jour de sécurité 2.2.18 du serveur HTTP Apache sortie plutôt ce mois pour corriger une faille DoS (déni de service) semble avoir créer une régression similaire, de dangerosité modérée, ayant amené au lancement d'une deuxième version de patch ce mois.

Cette nouvelle vulnérabilité, comme la précédente ne se manifeste que si le module mod_autoindex est en marche. Il s'agit d'un module activé par défaut sur la plupart des installations, destiné à générer automatiquement la liste des fichiers et répertoires d'un dossier qui ne dispose pas d'un fichier index.

La faille se situe plus précisément dans la version 1.4.4 de la bibliothèque Apache Portable Runtime. APR offre un ensemble d'APIs pour simuler les commandes inexistantes ou cacher les divergences entre le comportement des commandes fournies par le système d'exploitation sous-jacent (comme, par exemple, la différence entre les commandes LS et DIR entre xNIX et Windows)

Cette vulnérabilité peut entrainer les processus Httpd dans un état de saturation de l'utilisation CPU suite à l'appel de apr_fnmatch(). Cette fonction est chargée de vérifier si une chaine de caractère correspond avec un motif donné, qui peut contenir des caractères génériques.

La nouvelle version corrigée de APR peut être téléchargée séparément par les développeurs qui l'utilisent pour d'autres projets.

Les utilisateurs des versions 2.2.17 ou antérieures peuvent contourner ces deux vulnérabilités sans mettre à jour leur serveur Apache en activant l'option IgnoreClient des IndexOptions.

Apache HTTP Server 2.2.19 corrige une autre régression, due au changement involontaire de la signature de ap_unescape_url_keep2f ayant rompu la compatibilité avec les binaires de certains modules tiers.

Par la même occasion, la fondation Apache sort la deuxième bêta de Apache HTTTP Server 2.3.12, qui offre une vue d'ensemble sur les améliorations prévues pour la future branche 2.4 du serveur Web le plus utilisé au monde.

La branche de développement 2.3.x contient d'après la fondation « les nouvelles technologies et fonctionnalités qui sont incompatibles, ou trop importantes pour être intégrés à la branche stable 2.2.x »

Parmi ces nouveautés, Apache cite entre autres, la possibilité d'attribuer des valeurs en millisecondes pour KeepAliveTimeout, créer des fichiers journaux par répertoire ou par module et une amélioration du support de la lecture/écriture asynchrone.

Ces versions sont disponibles en téléchargement sur cette page

Source : Release Notes de la branche 2.2, annonce de la version 2.3 bêta

Et vous ?

Allez-vous mettre à jour votre serveur Apache ?

Une erreur dans cette actualité ? Signalez-nous-la !

1 commentaire
Commenter Signaler un problème
Alpha573
Avatar de Alpha573
Membre régulier https://www.developpez.com
Le 25/05/2011 à 13:06
Pour ma part, j'ai un ptit serveur perso sur Lenny à la maison, peut être que ne risque pas beaucoup vu le traffic, mais je pense que je vais appliquer le patch.
0  0