Apache HTTP Server 2.2.19 corrige une nouvelle vulnérabilité de Déni de Service
La version 2.3.12 passe en bêta
La mise à jour de sécurité 2.2.18 du serveur HTTP Apache sortie plutôt ce mois pour corriger une faille DoS (déni de service) semble avoir créer une régression similaire, de dangerosité modérée, ayant amené au lancement d'une deuxième version de patch ce mois.
Cette nouvelle vulnérabilité, comme la précédente ne se manifeste que si le module mod_autoindex est en marche. Il s'agit d'un module activé par défaut sur la plupart des installations, destiné à générer automatiquement la liste des fichiers et répertoires d'un dossier qui ne dispose pas d'un fichier index.
La faille se situe plus précisément dans la version 1.4.4 de la bibliothèque Apache Portable Runtime. APR offre un ensemble d'APIs pour simuler les commandes inexistantes ou cacher les divergences entre le comportement des commandes fournies par le système d'exploitation sous-jacent (comme, par exemple, la différence entre les commandes LS et DIR entre xNIX et Windows)
Cette vulnérabilité peut entrainer les processus Httpd dans un état de saturation de l'utilisation CPU suite à l'appel de apr_fnmatch(). Cette fonction est chargée de vérifier si une chaine de caractère correspond avec un motif donné, qui peut contenir des caractères génériques.
La nouvelle version corrigée de APR peut être téléchargée séparément par les développeurs qui l'utilisent pour d'autres projets.
Les utilisateurs des versions 2.2.17 ou antérieures peuvent contourner ces deux vulnérabilités sans mettre à jour leur serveur Apache en activant l'option IgnoreClient des IndexOptions.
Apache HTTP Server 2.2.19 corrige une autre régression, due au changement involontaire de la signature de ap_unescape_url_keep2f ayant rompu la compatibilité avec les binaires de certains modules tiers.
Par la même occasion, la fondation Apache sort la deuxième bêta de Apache HTTTP Server 2.3.12, qui offre une vue d'ensemble sur les améliorations prévues pour la future branche 2.4 du serveur Web le plus utilisé au monde.
La branche de développement 2.3.x contient d'après la fondation « les nouvelles technologies et fonctionnalités qui sont incompatibles, ou trop importantes pour être intégrés à la branche stable 2.2.x »
Parmi ces nouveautés, Apache cite entre autres, la possibilité d'attribuer des valeurs en millisecondes pour KeepAliveTimeout, créer des fichiers journaux par répertoire ou par module et une amélioration du support de la lecture/écriture asynchrone.
Ces versions sont disponibles en téléchargement sur cette page
Source : Release Notes de la branche 2.2, annonce de la version 2.3 bêta
Et vous ?
Allez-vous mettre à jour votre serveur Apache ?
Partager