le 21 mars 2014

De multiples vulnérabilités ont été corrigées dans Apache httpd. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.

Il est recommandé de mettre à jour les serveurs Apache 2.4 vers une version supérieure ou égale à la 2.4.9.

Risque(s)

• exécution de code arbitraire à distance
• déni de service à distance
• atteinte à la confidentialité des données

Systèmes affectés

Apache httpd versions antérieures à 2.4.9

Documentation

• Bulletin de sécurité Apache 2.4.9 Changelog du 17 mars 2014 : www.apache.org/dist/httpd/CHANGES_2.4.9
• Bulletin de sécurité Apache 2.4.9 du 17 mars 2014 : httpd.apache.org/security/vulnerabilities_24.html
• Référence CVE CVE-2014-0098 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2013-6438 : cve.mitre.org/cgi-bin/cvename.cgi
• Bulletin de sécurité du CERT-FR : cert.ssi.gouv.fr/site/CERTFR-2014-AVI-131

<- retour vers Bulletins de sécurité