AccueilActualités informatiqueApache 2.4.52 colmate les brèches de sécurité

Apache 2.4.52 colmate les brèches de sécurité

Des attaquants pourraient faire planter des serveurs Apache ou éventuellement utiliser une faille de sécurité pour faire pire. Les vulnérabilités sont comblées par la version actuelle d’Apache 2.4.52 a été supprimée. Les développeurs considèrent l’une des fuites comme un risque modéré et la seconde comme un risque « élevé ». Les administrateurs devraient installer rapidement la mise à jour.

Sommaire

La faille la plus grave concerne l’analyseur de scripts LUA mod_lua (CVE-2021-44790, risque élevé). En manipulant une requête à partir de scripts LUA, les attaquants auraient pu provoquer un débordement de tampon lors de l’appel de r:parsebody() a pu être déclenché. De tels débordements de mémoire tampon peuvent souvent être utilisés pour exécuter du code. Le projet Apache ne connaît pas encore d’exploits pour cette vulnérabilité. Les développeurs estiment toutefois qu’il est possible d’en construire un.

Si Apache est configuré en tant que forward proxy, l’envoi d’un URI manipulé pourrait provoquer un crash en raison d’une référence à pointeur nul (CVE-2021-44224, modéré). Un tel pointeur pointe déjà vers le nirvana numérique (NULL), ce qui le rend invalide ; un déréférencement supplémentaire entraîne généralement un plantage du logiciel. En revanche, si Apache fonctionne en tant que proxy forward et reverse, cela peut provoquer une Server Side Request Forgery (SSRF), ce qui permettrait à un pirate d’obtenir un accès non autorisé aux ressources du serveur ou d’autres systèmes.

Toutes les versions d’Apache jusqu’à la version 2.4.51 sont concernées par la première faille. Pour la deuxième faille, les développeurs d’Apache écrivent dans leur message de sécurité que les versions entre 2.4.7 et 2.4.51 sont vulnérables. La version 2.4.52 d’Apache, qui vient d’être publiée, corrige les deux erreurs. Les responsables informatiques et les administrateurs devraient appliquer rapidement les paquets mis à jour.

Lire aussi

Page thématique Linux et OpenSource sur heise online

Plus d'articles