Apache httpd : déni de service de mod_proxy

Synthèse de la vulnérabilité


Un attaquant peut employer une requête illicite afin de mener un déni de service de mod_proxy en mode reverse proxy.



Gravité : 2/4.

Conséquences : déni de service du service.

Provenance : client internet.

Moyen d´attaque : aucun démonstrateur, aucune attaque.

Compétence de l´attaquant : expert (4/4).

Confiance : confirmé par l´éditeur (5/5).

Diffusion de la configuration vulnérable : élevée (3/3).

Date création : 03/07/2009.


Produits concernés

- Apache httpd

- Mandriva Corporate

- Mandriva Linux

- Mandriva Multi Network Firewall

- Red Hat Enterprise Linux


Description de la vulnérabilité

Le module mod_proxy peut être employé pour configurer Apache httpd en tant que reverse proxy.

Lorsque le corps d´une requête HTTP contient plus de données que la valeur annoncée dans l´entête Content-Length (ou s´il est malformé), le proxy continue à traiter les données en boucle, au lieu de les rejeter.

Un attaquant peut donc employer une requête illicite afin de mener un déni de service de mod_proxy en mode reverse proxy.


Caractéristiques

Références : BID-35565, CVE-2009-1890, MDVSA-2009:149, RHSA-2009:1148-01, VIGILANCE-VUL-8837.

Url : http://vigilance.fr/vulnerabilite/Apache-httpd-deni-de-service-de-mod-proxy-8837