L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Apache APR, httpd : déni de service via apr_fnmatch

Synthèse de la vulnérabilité 

Un attaquant peut mener un déni de service dans les applications utilisant apr_fnmatch de APR. Lorsque mod_autoindex est activé dans Apache httpd, un attaquant distant peut employer une requête spéciale afin de créer un déni de service.
Logiciels vulnérables : APR-core, APR-util, Apache httpd, Debian, BIG-IP Hardware, TMOS, OpenView, OpenView NNM, HP-UX, Junos Space, Junos Space Network Management Platform, NSM Central Manager, NSMXpress, Mandriva Linux, NLD, OpenSolaris, openSUSE, Solaris, Trusted Solaris, RHEL, JBoss EAP par Red Hat, Slackware, SUSE Linux Enterprise Desktop, SLES.
Gravité de cette annonce : 3/4.
Date de création : 12/05/2011.
Dates de révisions : 12/05/2011, 13/05/2011.
Références de cette vulnérabilité informatique : 703390, c02997184, c03011498, c03025215, CERTA-2011-AVI-296, CERTA-2011-AVI-309, CERTA-2011-AVI-515, CERTA-2011-AVI-618, CERTA-2013-AVI-243, CVE-2011-0419, DSA-2237-1, DSA-2237-2, HPSBMU02704, HPSBUX02702, HPSBUX02707, MDVSA-2011:084, openSUSE-SU-2011:0859-1, PSN-2012-11-767, PSN-2013-02-846, RHSA-2011:0507-01, RHSA-2011:0896-01, RHSA-2011:0897-01, SOL15920, SSA:2011-133-01, SSRT100606, SSRT100619, SSRT100626, SUSE-SU-2011:0763-1, SUSE-SU-2011:0763-2, SUSE-SU-2011:0797-1, SUSE-SU-2011:1229-1, VIGILANCE-VUL-10645.

Description de la vulnérabilité 

L'APR (Apache Portable Runtime) est une bibliothèque logicielle pour le serveur web Apache rendant portables certaines fonctionnalités lorsqu'elles ne sont pas incluses dans le système d'exploitation.

La fonction apr_fnmatch() qui est définie dans le fichier "strings/apr_fnmatch.c" de la bibliothèque APR permet de vérifier si un nom de fichier contient un motif au format shell, comme par exemple "fichier*.txt". Cette fonction utilise pour cela un algorithme récursif. Cependant si le motif recherché contient de nombreux '*', la fonction est alors récursivement appelée de nombreuses fois, ce qui surcharge le processeur, et consomme des ressources.

Le module mod_autoindex d'Apache httpd génère les pages d'index des répertoires.

La fonction apr_fnmatch() de la bibliothèque APR est utilisée par mod_autoindex pour établir un index correspondant à un modèle/filtre. Cependant lorsqu'un répertoire contenant des noms de fichiers assez long est indexé par mod_autoindex, la fonction apr_fnmatch() consomme de nombreuses ressources, ce qui provoque un déni de service.

Un attaquant peut donc mener un déni de service dans les applications utilisant apr_fnmatch de APR.
Lorsque mod_autoindex est activé dans Apache httpd, un attaquant distant peut donc employer une requête spéciale afin de créer un déni de service.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette faille cyber-sécurité concerne les logiciels ou systèmes comme APR-core, APR-util, Apache httpd, Debian, BIG-IP Hardware, TMOS, OpenView, OpenView NNM, HP-UX, Junos Space, Junos Space Network Management Platform, NSM Central Manager, NSMXpress, Mandriva Linux, NLD, OpenSolaris, openSUSE, Solaris, Trusted Solaris, RHEL, JBoss EAP par Red Hat, Slackware, SUSE Linux Enterprise Desktop, SLES.

Notre équipe Vigil@nce a déterminé que la gravité de cette faille cybersécurité est important.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence technicien peut exploiter cette menace.

Solutions pour cette menace 

Apache APR : version 1.4.4.
La version 1.4.4 est corrigée :
  http://apr.apache.org/download.cgi
  http://www.apache.org/dist/apr/

Apache APR : version 1.3.11.
La version 1.3.11 est corrigée :
  http://apr.apache.org/download.cgi
  http://www.apache.org/dist/apr/

Apache httpd : version 2.2.18.
La version 2.2.18 est corrigée :
  http://httpd.apache.org/download.cgi

Apache httpd : contre-mesure pour apr_fnmatch.
Une contre-mesure consiste à activer l'option IgnoreClient de la directive IndexOptions.

Debian : nouveaux paquetages apr.
De nouveaux paquetages sont disponibles :
  exim4 version 1.2.12-5+lenny3
  exim4 version 1.4.2-6+squeeze2

F5 BIG-IP : versions corrigées pour Apache.
Les versions corrigées sont indiquées dans les sources d'information.

HP OpenView NNM : Apache version 2.2.21.
La version Apache 2.2.21 est corrigée :
  ftp.usa.hp.com
  user : sb02704
  password : Secure12

HP-UX : Apache version 2.2.15.08.01.
La version suivante est corrigée :
HP-UX Web Server Suite (WSS) v3.19 contenant Apache v2.2.15.09
  https://h20392.www2.hp.com/portal/swdepot/try.do?productNumber=HPUXWSATW319
  B.11.23 & B.11.31 (32-bit) : HPUXWS22ATW-B319-32.depot
  B.11.23 & B.11.31 (64-bit) : HPUXWS22ATW-B319-64.depot

HP-UX : Apache Web Server versions corrigées.
Les versions suivantes sont corrigées :
HP-UX Web Server Suite (WSS) v3.19 contenant Apache v2.2.15.09
  https://h20392.www2.hp.com/portal/swdepot/try.do?productNumber=HPUXWSATW319
  B.11.23 & B.11.31 (32-bit) : HPUXWS22ATW-B319-32.depot
  B.11.23 & B.11.31 (64-bit) : HPUXWS22ATW-B319-64.depot
HP-UX Web Server Suite (WSS) v2.34 contenant Apache v2.0.64.02
  https://h20392.www2.hp.com/portal/swdepot/displayProductInfo.do?productNumber=HPUXWSATW234
  B.11.11 : HPUXWSATW-B234-1111.depot

Juniper NSM, NSMXpress : versions 2010.3s7, 2011.4s4, 2012.1.
Les versions 2010.3s7, 2011.4s4 et 2012.1 sont corrigées :
  http://www.juniper.net/support/products/nsm/2012.1/

Junos Space : patch pour Apache.
Le patch 12.1P2.1 est disponible :
  http://www.juniper.net/support/downloads/?p=space#sw

Mandriva : nouveaux paquetages apr.
De nouveaux paquetages sont disponibles :
 - Mandriva Enterprise Server 5: libapr1-1.3.3-2.2
 - Mandriva Corporate 4.0: libapr1-1.2.7-1.2
 - Mandriva Linux 2009.0: libapr1-1.3.3-2.2
 - Mandriva Linux 2010.0: libapr1-1.3.9-1.1
 - Mandriva Linux 2010.1: libapr1-1.4.2-1.1

Red Hat JBoss Enterprise Web Server : version 1.0.2.
La version 1.0.2 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?downloadType=distributions&product=webserver&version=1.0.2
  http://docs.redhat.com/docs/en-US/JBoss_Enterprise_Web_Server/1.0/html-single/Release_Notes_1.0.2/index.html

RHEL : nouveaux paquetages apr.
De nouveaux paquetages sont disponibles :
 - RHEL 4 : apr-0.9.4-25.el4
 - RHEL 5 : apr-1.2.7-11.el5
 - RHEL 6 : apr-1.3.9-3.el6

Slackware : nouveaux paquetages apr, apr-util.
De nouveaux paquetages sont disponibles :
  apr-1.4.4
  apr-util-1.3.11

Solaris : patch pour Apache HTTP Server.
Un patch est disponible :
  Solaris 8
    SPARC: 116973-10
    X86: 116974-10
  Solaris 9
    SPARC: 113146-14
     X86: 114145-13
  Solaris 10
     SPARC: 122911-26
     X86: 122912-26

Solaris : patch pour APR.
Un patch est disponible :
Solaris 10
  SPARC: 120543-24
  X86: 120544-24
Solaris 11 Express
  snv_151a + 7049240

Solaris : patch pour C Library.
Un patch est disponible :
  Solaris 9 :
    SPARC: 112874-48
    X86: 122301-64
  Solaris 10 :
    SPARC: 147713-01
    X86: 147714-01

SUSE CORE 9 : nouveaux paquetages apache2.
De nouveaux paquetages sont disponibles :
  apache2-2.0.59-1.20

SUSE LE 10 SP3 : nouveaux paquetages apache2.
De nouveaux paquetages sont disponibles :
  apache2-2.2.3-16.32.37.1

SUSE : nouveaux paquetages libapr.
De nouveaux paquetages sont disponibles, comme indiqué dans les sources d'informations.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une alerte de vulnérabilités de systèmes. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique.