L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données et des outils pour y remédier.

Vulnérabilité de Apache httpd : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Apache httpd.
Gravité de cette menace : 3/4.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 15/07/2015.
Références de cette faille : 1963361, 1965444, 1967197, 1969062, bulletinoct2015, c04832246, c04926789, CVE-2015-0253, CVE-2015-3183, CVE-2015-3185, DSA-2019-131, DSA-3325-1, DSA-3325-2, FEDORA-2015-11689, FEDORA-2015-11792, HPSBUX03435, HPSBUX03512, openSUSE-SU-2015:1684-1, RHSA-2015:1666-01, RHSA-2015:1667-01, RHSA-2015:1668-01, RHSA-2015:2659-01, RHSA-2015:2660-01, RHSA-2015:2661-01, RHSA-2016:0062-01, RHSA-2016:2054-01, RHSA-2016:2055-01, RHSA-2016:2056-01, SOL17251, SSA:2015-198-01, SSRT102254, SSRT102977, USN-2686-1, VIGILANCE-VUL-17378.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Apache httpd.

Un attaquant peut provoquer une erreur dans l'analyse de l'entête HTTP Chunk, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-3183]

La directive ap_some_auth_required n'est pas honorée, ce qui permet à un attaquant d'accéder au service sans authentification. [grav:2/4; CVE-2015-3185]

Lorsque la configuration de "ErrorDocument 400" pointe vers un fichier/url local, et que le filtre INCLUDES est actif, un attaquant peut mener un déni de service. [grav:2/4; CVE-2015-0253]
Bulletin Vigil@nce complet... (Demandez votre essai gratuit)

Cet avis sécurité concerne les logiciels ou systèmes comme Apache httpd, Debian, VNX Operating Environment, VNX Series, BIG-IP Hardware, TMOS, Fedora, HP-UX, Domino, Tivoli System Automation, WebSphere AS Traditional, openSUSE, Solaris, Puppet, RHEL, JBoss EAP par Red Hat, SAS Add-in for Microsoft Office, SAS Analytics Pro, Base SAS Software, SAS Enterprise BI Server, SAS Enterprise Guide, SAS Management Console, SAS OLAP Server, SAS SAS/ACCESS, SAS SAS/AF, SAS SAS/CONNECT, SAS SAS/EIS, SAS SAS/ETS, SAS SAS/FSP, SAS SAS/GRAPH, SAS SAS/IML, SAS SAS/OR, SAS SAS/STAT, SAS SAS/Web Report Studio, Slackware, Synology DS***, Synology RS***, Ubuntu.

Notre équipe Vigil@nce a déterminé que la gravité de cette alerte sécurité est important.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Ce bulletin concerne 3 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cette vulnérabilité.

Solutions pour cette menace

Apache httpd : version 2.4.16.
La version 2.4.16 est corrigée :
  http://httpd.apache.org/download.cgi

Apache httpd : version 2.2.31.
La version 2.2.31 est corrigée :
  http://httpd.apache.org/download.cgi

Debian : nouveaux paquetages apache2.
De nouveaux paquetages sont disponibles :
  Debian 7 : apache2 2.2.22-13+deb7u6
  Debian 8 : apache2 2.4.10-10+deb8u1

Dell EMC VNXe3200 : version 3.1.10.9946299.
La version 3.1.10.9946299 est corrigée :
  https://www.dell.com/

F5 BIG-IP : versions corrigées pour Apache.
Les versions corrigées sont indiquées dans les sources d'information.

Fedora : nouveaux paquetages httpd.
De nouveaux paquetages sont disponibles :
  Fedora 21 : httpd 2.4.16-1.fc21
  Fedora 22 : httpd 2.4.16-1.fc22

HP-UX : Web Server Suite version 3.31.
Web Server Suite version 3.31 est corrigé :
  http://software.hp.com/
  HPUXWSATW331

HP-UX Web Server Suite : version 4.06.
La version 4.06 est corrigée :
  https://h20392.www2.hpe.com/portal/swdepot/displayProductInfo.do?productNumber=HPUXWSATW406

IBM Domino : patch pour HTTP Server.
Un patch est indiqué dans les sources d'information.

IBM Tivoli System Automation : patch pour Apache.
Un patch est disponible :
  http://www-01.ibm.com/support/docview.wss?uid=swg21963361
  VIGILANCE-SOL-42855

openSUSE : nouveaux paquetages apache2.
De nouveaux paquetages sont disponibles :
  openSUSE 13.1 : apache2 2.4.6-6.50.1
  openSUSE 13.2 : apache2 2.4.10-28.1

Puppet Enterprise : version 3.8.2.
La version 3.8.2 est corrigée :
  https://puppetlabs.com

Red Hat JBoss Enterprise Application Platform : version 6.4.10.
La version 6.4.10 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=appplatform&downloadType=securityPatches&version=6.4

Red Hat JBoss Web Server : patch.
Un patch est disponible :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=webserver&downloadType=securityPatches&version=2.1.0

Red Hat JBoss Web Server : version 3.0.2.
La version 3.0.2 est corrigée.

RHEL 6.7 : nouveaux paquetages httpd.
De nouveaux paquetages sont disponibles :
  RHEL 6 : httpd 2.2.15-47.el6_7

RHEL 7.1 : nouveaux paquetages httpd.
De nouveaux paquetages sont disponibles :
  RHEL 7 : httpd 2.4.6-31.el7_1.1

RHEL : nouveaux paquetages httpd24-httpd.
De nouveaux paquetages sont disponibles :
  RHEL 6 : httpd24-httpd 2.4.12-4.el6.2
  RHEL 7 : httpd24-httpd 2.4.12-6.el7.1

SAS 9.4 : patch pour OpenSSL, Apache.
Un patch est disponible :
  http://support.sas.com/kb/59371.html

Slackware : nouveaux paquetages httpd.
De nouveaux paquetages sont disponibles :
  Slackware 14.0 : httpd 2.4.16-*-1_slack14.0
  Slackware 14.1 : httpd 2.4.16-*-1_slack14.1

Solaris : patch pour Third Party (10/2015).
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

Synology DS : version 5.2-5592 Update 4.
La version 5.2-5592 Update 4 est corrigée.

Synology RS : version 5.2-5592 Update 4.
La version 5.2-5592 Update 4 est corrigée.

Ubuntu : nouveaux paquetages apache2.2-bin.
De nouveaux paquetages sont disponibles :
  Ubuntu 15.04 : apache2.2-bin 2.4.10-9ubuntu1.1
  Ubuntu 14.04 LTS : apache2.2-bin 2.4.7-1ubuntu4.5
  Ubuntu 12.04 LTS : apache2.2-bin 2.2.22-1ubuntu1.10

WebSphere AS : patch pour Apache.
Un patch est indiqué dans les sources d'information.

WebSphere AS : version 8.5.5.7.
La version 8.5.5.7 est corrigée :
  https://www-304.ibm.com/support/docview.wss?uid=swg24040533
Bulletin Vigil@nce complet... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit un patch cyber-sécurité. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications.