K-Otik Security : Apache 2.0.45 Denial of Service and system Compromise

Apache 2.0.45 Denial of Service and system Compromise

Date de Publication: 2003-05-29
Titre: Apache 2.0.45 Denial of Service and system Compromise
K-Otik ID : 0128
Exploitable à distance : Oui
Exploitable en local : Oui

* Description Technique - Exploit *

Deux vulnérabilités critiques touchent Apache 2.0.45 et versions inférieures. La première faille est de type Déni de Service et exécution de code arbitraire, elle peut être exploitée à travers "mod_dav". La seconde faille touche les versions linux de Apache, et provoquerait un déni de service. Elle est due à un problème dans le module d'authentification.

* Versions Vulnérables *

Apache httpd v2.0.45 et inférieures.

* Solution *

Utiliser Apache httpd version 2.0.46
http://httpd.apache.org/download.cgi

* Crédits *

Failles découverte par David Endler et John Hughes (Mai 2003).