CERTA-2003-AVI-013
Vulnerability from certfr_avis
Trois vulnérabilités ont été découvertes sur le serveur http Apache installé sur les plates-formes Windows.
Description
Un utilisateur distant mal intentionné peut, par le biais de requête contenant le nom d'un périphérique MS-DOS, réaliser un déni de service de la plate-forme sur laquelle se trouve le serveur http Apache.
Une seconde vulnérabilité permet, dans les mêmes conditions, d'exécuter du code arbitraire sur la machine cible.
Ces deux vulnérabilités ne sont exploitables que sur les plates-formes windows 98 ou windows ME.
La troisième vulnérabilité porte sur la non vérification de caractères spécifiques dans une requête qui permet à un utilisateur mal intentionné, par le biais de requêtes malicieusement construites, d'accèder à des fichiers non autorisés.
Solution
La version 2.0.44 corrige ces vulnérabilités.
Apache versions antérieures à la version 2.0.44 sur les plates-formes Windows.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cp\u003eApache versions ant\u00e9rieures \u00e0 la version 2.0.44 sur les plates-formes Windows.\u003c/p\u003e",
"content": "## Description\n\nUn utilisateur distant mal intentionn\u00e9 peut, par le biais de requ\u00eate\ncontenant le nom d\u0027un p\u00e9riph\u00e9rique MS-DOS, r\u00e9aliser un d\u00e9ni de service\nde la plate-forme sur laquelle se trouve le serveur http Apache.\n\nUne seconde vuln\u00e9rabilit\u00e9 permet, dans les m\u00eames conditions, d\u0027ex\u00e9cuter\ndu code arbitraire sur la machine cible.\n\nCes deux vuln\u00e9rabilit\u00e9s ne sont exploitables que sur les plates-formes\nwindows 98 ou windows ME.\n\nLa troisi\u00e8me vuln\u00e9rabilit\u00e9 porte sur la non v\u00e9rification de caract\u00e8res\nsp\u00e9cifiques dans une requ\u00eate qui permet \u00e0 un utilisateur mal\nintentionn\u00e9, par le biais de requ\u00eates malicieusement construites,\nd\u0027acc\u00e8der \u00e0 des fichiers non autoris\u00e9s.\n\n## Solution\n\nLa version 2.0.44 corrige ces vuln\u00e9rabilit\u00e9s.\n",
"cves": [],
"initial_release_date": "2003-01-24T00:00:00",
"last_revision_date": "2003-01-24T00:00:00",
"links": [
{
"title": "Avis sur le site Apache :",
"url": "http://httpd.apache.org/dist/httpd/Announcement2.html"
}
],
"reference": "CERTA-2003-AVI-013",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2003-01-24T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire"
},
{
"description": "D\u00e9ni de service"
},
{
"description": "Acc\u00e8s non-autoris\u00e9 \u00e0 des fichiers du syst\u00e8me"
}
],
"summary": "Trois vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes sur le serveur http Apache\ninstall\u00e9 sur les plates-formes Windows.\n",
"title": "Vuln\u00e9rabilit\u00e9 sur le serveur http Apache",
"vendor_advisories": [
{
"published_at": null,
"title": "Liste de diffusion Bugtraq",
"url": null
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
- Confirmed: The vulnerability is confirmed from an analyst perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
- Patched: This vulnerability was successfully patched by the user reporting the sighting.
- Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
- Not confirmed: The user expresses doubt about the veracity of the vulnerability.
- Not patched: This vulnerability was not successfully patched by the user reporting the sighting.