AccueilActualités informatiqueMise à jour de sécurité : les attaquants pouvaient accéder aux fichiers...

Mise à jour de sécurité : les attaquants pouvaient accéder aux fichiers des serveurs web Apache

Dans certaines circonstances, les attaquants pouvaient accéder à des fichiers situés en dehors du répertoire racine des documents des serveurs web basés sur Apache. C’est exactement ce qui est censé se passer en ce moment. Une version protégée contre ce problème a déjà été publiée.

La vulnérabilité de traversée de chemin (CVE-2021-41773) affecte exclusivement le serveur HTTP Apache version 2.4.49. Si le mécanisme de protection « require all denied » n’est pas actif, les attaquants pourraient utiliser des URL spéciales pour visualiser des fichiers en dehors du répertoire racine du document. Les conseils de sécurité des développeurs pour le serveur HTTP Apache 2.4 indiquent que le mécanisme de sécurité n’est pas actif par défaut. Jusqu’à présent, il n’y a pas d’évaluation officielle de la gravité de la vulnérabilité. L’équipe Apache classe la mise à jour de sécurité comme « important » a.

Dans un message d’avertissement, les développeurs déclarent que l’écart de Serveur HTTP Apache 2.4.50 ont été fermés. Un autre bogue s’est glissé dans la version 2.4.49, qui a été corrigé dans la version actuelle. L’exploitation réussie de la deuxième vulnérabilité (CVE-2021-41524) devrait permettre aux attaquants de déclencher des états de déni de service par le biais de requêtes HTTP/2 modifiées. Ici aussi, une classification officielle est toujours en attente. Les développeurs classent la menace comme « modéré » sur.

Plus d'articles