Apache 2.4.51 publié en urgence, dans la foulée de la 2.4.50

Quelques jours à peine après la sortie de la version 2.4.50, l'Apache Software Foundation a publié Apache 2.4.51 car la précédente mise à jour ne corrigeait que partiellement la faille CVE-2021-41773 présente dans la version 2.4.49.

Dans le but de corriger la faille zero-day CVE-2021-41773 et une autre faille de sécurité au sein d'Apache 2.4.49, l'Apache Software Foundation a publié la version 2.4.50 du serveur Web. Malheureusement, des chercheurs en sécurité ont constaté que le correctif n'était pas suffisamment efficace et qu'il corrigeait partiellement la vulnérabilité.

Rappel au sujet de la faille CVE-2021-41773

Cette vulnérabilité permet d'effectuer une attaque "Path transversal" afin d'accéder à des fichiers situés en dehors de la racine du site, mais aussi de récupérer ces fichiers. Elle est exploitable si vous utilisez Apache 2.4.49 (et seulement cette version) et qu'Apache n'est pas configuré avec la directive "require all denied" sur les fichiers en dehors de la racine du site (DocumentRoot). Par défaut, Apache n'est pas configuré de cette façon, ce qui est d'autant plus alarmant.

Apache 2.4.50 et la faille CVE-2021-42013

Le nouveau vecteur d'attaque découvert dans Apache 2.4.50 a donné lieu à une nouvelle référence CVE : CVE-2021-42013. Elle offre les mêmes possibilités que la faille dans Apache 2.4.49, à savoir accéder à des fichiers en dehors de la racine du site.

D'après l'US-CERT, des scans de serveurs Web sont en cours afin d'exploiter les vulnérabilités CVE-2021-41773 et CVE-2021-42013. Maintenant que ces failles sont connues publiquement, les pirates ne vont pas tarder à développer des exploits prêts à l'emploi, si ce n'est pas déjà fait...

Si vous utilisez Apache 2.4.49, il est fortement recommandé de passer en version 2.4.51 dès maintenant. Si vous venez d'installer Apache 2.4.50 cette semaine, c'est pareil, vous devez repasser par la case mise à jour pour passer sur Apache 2.4.51.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3273 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.