Apache 2.4.49 : deux failles de sécurité, dont une zero-day !

L'Apache Software Foundation a mis en ligne Apache 2.4.50 afin de corriger deux failles de sécurité, dont une faille zero-day. Si vous utilisez un serveur Web Apache en version 2.4.49, alors votre serveur est vulnérable !

Il y a quelques semaines, Apache 2.4.49 est sortie et c'est précisément cette version qui est touchée par deux failles de sécurité. Les versions antérieures à celles-ci ne sont pas touchées. Comme elle est sortie il y a peu, il est fort probable qu'elle ne soit pas déployée sur la majorité des serveurs Web Apache, et c'est tant mieux. Malgré tout, Apache étant très très utilisé, la version 2.4.49 représenterait plus de 110 000 serveurs Apache dans le monde, dont un peu plus de 7 000 en France.

Par contre, si vous utilisez Apache 2.4.49, il est recommandé de passer sur Apache 2.4.50 sans attendre afin d'être protégé contre les deux failles suivantes : CVE-2021-41524 et CVE-2021-41773.

Apache 2.4.49 - Vulnérabilité CVE-2021-41773

Remontée par Ash Daulton de l'équipe sécurité de chez cPanel, cette faille zero-day Apache est déjà exploitée par les pirates informatiques d'après l'Apache Software Foundation. Cette vulnérabilité permet d'effectuer une attaque "Path transversal" afin d'accéder à des fichiers situés en dehors de la racine du site, mais aussi de récupérer ces fichiers.

Cette faille de sécurité est exploitable si vous utilisez Apache 2.4.49 (et seulement cette version) et qu'Apache n'est pas configuré avec la directive "require all denied" sur les fichiers en dehors de la racine du site (DocumentRoot). Par défaut, Apache n'est pas configuré de cette façon, ce qui est d'autant plus alarmant.

Apache 2.4.49 - Vulnérabilité CVE-2021-41524

Cette deuxième faille de sécurité a une sévérité modérée, et elle permet d'effectuer un déni de service sur le serveur cible en envoyant une requête spécifique sur le serveur, en HTTP/2.

Pour information, c'est LI ZHI XIN de l'équipe de sécurité NSFocus qui a découvert cette faille de sécurité et elle n'est pas exploitée actuellement, contrairement à la faille zero-day.

Si vous souhaitez savoir quelle version d'Apache tourne sur votre serveur Linux, exécutez l'une des commandes suivantes (en fonction de votre distribution) :

apache2ctl -v
httpd -v

Enfin, voici le lien vers le bulletin de sécurité publié sur le site officiel d'Apache.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5499.Voir tous les posts

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.