Le projet de serveur HTTP Apache corrige une vulnérabilité zero-day
La vulnérabilité critique est activement exploitée par des attaquants. Elle a été introduite par la mise à jour 2.4.49 du logiciel et n’affecte que cette version du logiciel.
Le serveur HTTP Apache est un projet open source populaire qui vise au développement d’un logiciel de serveur HTTP adapté aux systèmes d’exploitation, notamment UNIX et Windows.
La version 2.4.49 du serveur HTTP Apache corrige un grand nombre de failles de sécurité, notamment un bug de contournement de validation, un déréférencement de pointeur NULL, un problème de déni de service et une vulnérabilité grave de type SSRF (Server-Side Request Forgery).
Cependant, la mise à jour a également introduit par inadvertance un problème distinct et critique : une vulnérabilité de type « path traversal », qui peut être exploitée pour mapper et divulguer des fichiers.
Exécution de code à distance :
Répertoriée sous le nom de CVE-2021-41773, la faille de sécurité a été découverte par Ash Daulton, de l’équipe de sécurité de cPanel, lors d’une modification apportée à la normalisation des chemins dans le logiciel du serveur.
« Un attaquant pourrait utiliser cette attaque pour mapper des URL vers des fichiers en dehors de la racine du document attendu », indiquent les développeurs. « Si les fichiers en dehors de la racine du document ne sont pas protégés par la configuration « Require all denied », ces requêtes peuvent aboutir. De plus, cette faille pourrait permettre de faire fuiter la source de fichiers interprétés comme les scripts CGI.
» Positive Technologies a reproduit le bug et Will Dormann, analyste des vulnérabilités au CERT/CC, explique que si la fonction mod-cgi est activée sur le serveur HTTP Apache 2.4.49, et que la fonction par défaut Require all denied est absente, alors « CVE-2021-41773 permet aussi une exécution de code à distance ».
Un correctif disponible depuis le 4 octobre
CVE-2021-41773 n’a d’impact que sur Apache HTTP Server 2.4.49 car il a été introduit dans cette mise à jour et les versions antérieures du logiciel ne sont donc pas affectées.
Mardi, des chercheurs de la société Sonatype indiquaient qu’environ 112 000 serveurs Apache utilisent la version vulnérable, dont environ 40 % sont situés aux Etats-Unis.
La vulnérabilité a été signalée en privé le 29 septembre et un correctif a été inclus dans la version 2.4.50, disponible depuis le 4 octobre. Il est recommandé aux utilisateurs de mettre à jour leurs versions logicielles le plus rapidement possible.
Pour plus d’information : https://www.zdnet.fr/actualites/le-projet-de-serveur-http-apache-corrige-une-vulnerabilite-zero-day-39930399.htm
Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram