Le projet de serveur HTTP Apache corrige une vulnérabilité zero-day

Le projet de serveur HTTP Apache corrige une vulnérabilité zero-day

Les développeurs du projet de serveur HTTP Apache invitent les utilisateurs à appliquer immédiatement un correctif pour résoudre une vulnérabilité de type “zero-day”.

Selon un avis de sécurité daté du 5 octobre, le bug est connu pour être activement exploité par des attaquants.

publicité

Une vulnérabilité de type “path traversal”

Le serveur HTTP Apache est un projet open source populaire qui vise au développement d’un logiciel de serveur HTTP adapté aux systèmes d’exploitation, notamment UNIX et Windows.

La version 2.4.49 du serveur HTTP Apache corrige un grand nombre de failles de sécurité, notamment un bug de contournement de validation, un déréférencement de pointeur NULL, un problème de déni de service et une vulnérabilité grave de type SSRF (Server-Side Request Forgery).

Cependant, la mise à jour a également introduit par inadvertance un problème distinct et critique : une vulnérabilité de type “path traversal”, qui peut être exploitée pour mapper et divulguer des fichiers.

Exécution de code à distance

Répertoriée sous le nom de CVE-2021-41773, la faille de sécurité a été découverte par Ash Daulton, de l’équipe de sécurité de cPanel, lors d’une modification apportée à la normalisation des chemins dans le logiciel du serveur.

« Un attaquant pourrait utiliser cette attaque pour mapper des URL vers des fichiers en dehors de la racine du document attendu », indiquent les développeurs. « Si les fichiers en dehors de la racine du document ne sont pas protégés par la configuration “Require all denied”, ces requêtes peuvent aboutir. De plus, cette faille pourrait permettre de faire fuiter la source de fichiers interprétés comme les scripts CGI. »

Positive Technologies a reproduit le bug et Will Dormann, analyste des vulnérabilités au CERT/CC, explique que si la fonction mod-cgi est activée sur le serveur HTTP Apache 2.4.49, et que la fonction par défaut Require all denied est absente, alors « CVE-2021-41773 permet aussi une exécution de code à distance ».

Un correctif disponible depuis le 4 octobre

CVE-2021-41773 n’a d’impact que sur Apache HTTP Server 2.4.49 car il a été introduit dans cette mise à jour et les versions antérieures du logiciel ne sont donc pas affectées.

Mardi, des chercheurs de la société Sonatype indiquaient qu’environ 112 000 serveurs Apache utilisent la version vulnérable, dont environ 40 % sont situés aux Etats-Unis.

La vulnérabilité a été signalée en privé le 29 septembre et un correctif a été inclus dans la version 2.4.50, disponible depuis le 4 octobre. Il est recommandé aux utilisateurs de mettre à jour leurs versions logicielles le plus rapidement possible.

Source : ZDNet.com

Leave a Reply

Discover more from Ultimatepocket

Subscribe now to keep reading and get access to the full archive.

Continue reading