L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Apache APR-util : déni de service via apr_strmatch

Synthèse de la vulnérabilité 

Un attaquant peut mener un déni de service dans les applications utilisant apr_strmatch de APR-util.
Produits vulnérables : APR-util, Apache httpd, Debian, Fedora, HP-UX, WebSphere AS Traditional, NSM Central Manager, NSMXpress, Mandriva Linux, Mandriva NF, NLD, OES, openSUSE, Solaris, RHEL, Slackware, SLES.
Gravité de cette faille : 2/4.
Date de création : 05/06/2009.
Références de ce bulletin : BID-35221, c02579879, CERTA-2009-AVI-244, CERTA-2009-AVI-408, CERTA-2009-AVI-471, CERTA-2012-AVI-023, CVE-2009-0023, DSA-1812-1, FEDORA-2009-5969, FEDORA-2009-6014, FEDORA-2009-6261, HPSBUX02612, MDVSA-2009:131, MDVSA-2009:131-1, MDVSA-2009:314, PK87176, PK88341, PK88342, PK91361, PK99477, PK99478, PK99480, PSN-2012-11-767, RHSA-2009:1107-01, RHSA-2009:1108-01, RHSA-2009:1160-01, RHSA-2010:0602-02, SSA:2009-167-02, SSA:2009-214-01, SSRT100345, SUSE-SR:2009:013, VIGILANCE-VUL-8766.

Description de la vulnérabilité 

La bibliothèque Apache APR-util propose le module strmatch qui cherche un motif dans une chaîne, en utilisant l'algorithme de Boyer-Moore-Horspool.

Cet algorithme utilise une décalage lié à l'offset d'un caractère en partant de la fin du motif. Par exemple, si le motif est "cherche" :
 - le décalage de 'e' est 4 (chErche, le dernier 'e' est ignoré)
 - le décalage de 'h' est 1 (chercHe)
 - le décalage de 'c' est 2 (cherChe)
 - le décalage de 'r' est 3 (cheRche)

Le module strmatch emploie une table de 256 caractères indiquant le décalage de chaque caractère (shift['e']=4, etc.). Cependant, le caractère est stocké dans un "char" signé. Lorsque le caractère est supérieur à 127, l'indice la table de décalage est négatif, ce qui provoque une lecture à une adresse invalide.

Un attaquant peut donc employer un motif contenant des caractères supérieurs à 127 afin de stopper les applications liées à Apache APR-util.

Par exemple, les applications suivantes sont vulnérables :
 - Apache httpd via un fichier .htaccess
 - mod_dav_svn si la directive "SVNMasterURI" est employée
 - mod_apreq2
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cet avis cyber-sécurité concerne les logiciels ou systèmes comme APR-util, Apache httpd, Debian, Fedora, HP-UX, WebSphere AS Traditional, NSM Central Manager, NSMXpress, Mandriva Linux, Mandriva NF, NLD, OES, openSUSE, Solaris, RHEL, Slackware, SLES.

Notre équipe Vigil@nce a déterminé que la gravité de ce bulletin de faille informatique est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence technicien peut exploiter cette faille.

Solutions pour cette menace 

Apache httpd : version 2.2.12.
La version 2.2.12 est corrigée :
  http://httpd.apache.org/

Apache APR-util : version 1.3.7.
La version 1.3.7 est corrigée :
  http://apr.apache.org/download.cgi
  http://www.apache.org/dist/apr/

Apache APR-util : version 0.9.7.
La version 0.9.7 est corrigée :
  http://apr.apache.org/download.cgi

Apache APR-util : patch pour apr_strmatch.
Un patch est disponible dans les sources d'information.

Debian : nouveaux paquetages apr-util.
De nouveaux paquetages sont disponibles :
  http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-*_1.2.7+dfsg-2+etch2_*.deb
  http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-*_1.2.12+dfsg-8+lenny2_*.deb

Fedora : nouveaux paquetages apr-util.
De nouveaux paquetages sont disponibles :
  apr-util-1.2.12-7.fc9
  apr-util-1.3.7-1.fc10
  apr-util-1.3.7-1.fc11

HP-UX : Apache version B.2.0.63.01.
La version B.2.0.63.01 est corrigée :
  http://software.hp.com/

Juniper NSM, NSMXpress : versions 2010.3s7, 2011.4s4, 2012.1.
Les versions 2010.3s7, 2011.4s4 et 2012.1 sont corrigées :
  http://www.juniper.net/support/products/nsm/2012.1/

Mandriva 2008.0 : nouveaux paquetages apr.
De nouveaux paquetages sont disponibles :
  apr-1.2.11-1.1mdv2008.0

Mandriva : nouveaux paquetages apr-util.
De nouveaux paquetages sont disponibles :
  Mandriva Linux 2008.1: apr-util-1.2.12-4.1mdv2008.1
  Mandriva Linux 2009.0: apr-util-1.3.4-2.1mdv2009.0
  Mandriva Linux 2009.1: apr-util-1.3.4-9.1mdv2009.1
  Corporate 3.0: apache2-2.0.48-6.20.C30mdk
  Corporate 4.0: apr-util-1.2.7-6.1.20060mlcs4
  Multi Network Firewall 2.0: apache2-2.0.48-6.20.C30mdk

RHEL 3 : nouveaux paquetages httpd.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 3: httpd-2.0.46-73.ent

RHEL 4, 5 : nouveaux paquetages apr-util.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 4: apr-util-0.9.4-22.el4_8.1
Red Hat Enterprise Linux version 5: apr-util-1.2.7-7.el5_3.1

RHEL 4 JBoss : nouveaux paquetages httpd22.
De nouveaux paquetages sont disponibles :
JBoss Enterprise Web Server 4AS-JBEWS-5.0.0:
  httpd22-2.2.10-23.1.ep5.el4

RHEL 4 : nouveaux paquetages Red Hat Certificate System 7.3.
De nouveaux paquetages sont disponibles, comme indiqué dans les sources d'informations.

Slackware : nouveaux paquetages apr-util.
De nouveaux paquetages sont disponibles :
Slackware 11.0:
ftp://ftp.slackware.com/pub/slackware/slackware-11.0/patches/packages/apr-1.3.5-i486-1_slack11.0.tgz
ftp://ftp.slackware.com/pub/slackware/slackware-11.0/patches/packages/apr-util-1.3.7-i486-1_slack11.0.tgz
Slackware 12.0:
ftp://ftp.slackware.com/pub/slackware/slackware-12.0/patches/packages/apr-1.3.5-i486-1_slack12.0.tgz
ftp://ftp.slackware.com/pub/slackware/slackware-12.0/patches/packages/apr-util-1.3.7-i486-1_slack12.0.tgz
Slackware 12.1:
ftp://ftp.slackware.com/pub/slackware/slackware-12.1/patches/packages/apr-1.3.5-i486-1_slack12.1.tgz
ftp://ftp.slackware.com/pub/slackware/slackware-12.1/patches/packages/apr-util-1.3.7-i486-1_slack12.1.tgz
Slackware 12.2:
ftp://ftp.slackware.com/pub/slackware/slackware-12.2/patches/packages/apr-1.3.5-i486-1_slack12.2.tgz
ftp://ftp.slackware.com/pub/slackware/slackware-12.2/patches/packages/apr-util-1.3.7-i486-1_slack12.2.tgz

Slackware : nouveaux paquetages httpd.
De nouveaux paquetages sont disponibles :
Slackware 12.0:
ftp://ftp.slackware.com/pub/slackware/slackware-12.0/patches/packages/httpd-2.2.12-i486-1_slack12.0.tgz
Slackware 12.1:
ftp://ftp.slackware.com/pub/slackware/slackware-12.1/patches/packages/httpd-2.2.12-i486-1_slack12.1.tgz
Slackware 12.2:
ftp://ftp.slackware.com/pub/slackware/slackware-12.2/patches/packages/httpd-2.2.12-i486-1_slack12.2.tgz

Solaris 10 : patch pour APR-util.
Un patch est disponible :
  SPARC: 120543-18
  X86: 120544-18

SUSE : nouveaux paquetages (11/08/2009).
De nouveaux paquetages sont disponibles.

WebSphere AS : APAR pour Apache.
Un APAR est disponible :
IBM (PK87176):
  http://www-01.ibm.com/support/docview.wss?uid=swg1PK99477
IBM (PK88341, PK88342):
  http://www-01.ibm.com/support/docview.wss?uid=swg1PK99478
IBM (PK91361):
  http://www-01.ibm.com/support/docview.wss?uid=swg1PK99480
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une annonce de vulnérabilité informatique. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.