• [^] # Re: Apache 2.0

    Posté par . En réponse à la dépêche Version corrigée d'Apache. Évalué à 10.

    Etant donné la relative gravité du bug, je crois que ça sera pas d'une rapidité fulgurante.

    Pour rappel, il n'y a pas de réelle vulnérabilité sur les archi 32bits (sauf Windows, où Apache n'est pas très répandu). Dans ce cas là, le seul risque encouru est que le processus fils qui gère la requête fautive meurt dans d'atroces souffrances.

    A part dans le modèle multi-process/multi-threads d'Apache 2.0, qui, si je ne m'abuse, n'est pas celui par défaut, ça ne fait pas un DoS étant donné que le process qui meurt était occupé et que le process père est toujours là pour relancer un nouveau fils pour remplacer le défunt.

    Par contre, sur les plate-formes 64 bits, il y a un plus grand risque. Par ailleurs, et toujours si je ne m'abuse, Solaris n'est réellement 64 bits que depuis la version 7. La question est : est-ce que Solaris 2.6 est quand même vulnérable ?

    Pour les autres archis 64 bits, je n'en sais pas plus, mais il me semble que c'est surtout Solaris qui est utilisé à ces fins.

    Qui plus est, l'alerte faisait état de cette potentielle exécution de code sur des archis 64 bits en indiquant que ça dépendait du type d'archi sans préciser de laquelle (desquelles ?) il s'agissait.

    Bref, il vaut mieux mettre à jour, mais je ne pense pas que le parc complet sera mis à jour tout de suite.