Plusieurs failles importantes dans Apache Web Server, des correctifs à installer rapidement
Le 03 avril 2019 à 09h37
2 min
Logiciel
Logiciel
Plusieurs vulnérabilités sont corrigées dans la mise à jour 2.4.39 du serveur Apache, dont une particulièrement critique. Estampillée CVE-2019-0211, elle a été identifiée par le chercheur en sécurité Charles Fol, de la société française Ambionics Security.
Elle réside dans les versions 2.4.17 à 2.4.38 et permet, si correctement exploitée, à un utilisateur sans grands privilèges d’exécuter arbitrairement du code en mode root. Autant dire un sérieux problème.
Selon Mark J Cox de l’Apache Software Foundation, la faille est particulièrement dangereuse pour les services d’hébergement web partagés où un pirate pourrait exécuter du PHP ou des scripts CGI, activant la faille. Il aurait alors accès à tous les sites sur le même serveur.
La deuxième faille (CVE-2019-0217), importante mais non critique, peut permettre à un utilisateur de s’authentifier avec des identifiants valides mais en utilisant un autre nom, court-circuitant les restrictions de contrôle d’accès.
La dernière (CVE-2019-0215) permet enfin de contourner les contrôles d’accès pour tout client supportant la Post-Handshake Authentication.
Toutes ces failles sont corrigées dans la version 2.4.39 du serveur, qu’il faut donc installer au plus vite.
Le 03 avril 2019 à 09h37
Commentaires (15)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 03/04/2019 à 08h18
Merci de l’info ! " />
Le 03/04/2019 à 08h25
et là tu lance un yum update :
httpd.x86_64 2.4.6-88.el7.centos
et tu sais pas si t’es bon ou pas :/
Le 03/04/2019 à 08h46
Ça n’a pas l’air de s’appliquer à distance.
C’est critique si tu laisse des gens uploader leurs scripts php sur ton serveur.
Le 03/04/2019 à 08h49
je me demande toujours comment une faille dans un service qui normalement n’est pas lancé par root peut permettre de devenir root :/
pour celui qui lance apache en mode root ok je comprend
mais normalement t’as un utilisateur www (ou un truc du genre)
Le 03/04/2019 à 09h00
Bon, y a plus qu’à patienter, en gros :-/
https://security-tracker.debian.org/tracker/CVE-2019-0211
Le 03/04/2019 à 09h04
Du lourd cette faille !
Le 03/04/2019 à 09h11
Merci pour l’info " />
Le 03/04/2019 à 10h21
Mais c’est déjà tout bon, non ? le canal security est patché.
Le 03/04/2019 à 10h31
Apache 2.4.6, package build en novembre 2018, donc non, ce n’est pas bon, au moins sur certaines failles importantes.
Je ne comprends pas la difficulté.
Le 03/04/2019 à 11h46
Le 03/04/2019 à 11h51
Le 03/04/2019 à 12h32
Le 03/04/2019 à 13h27
Le 03/04/2019 à 15h26
La faille à été introduite dans la 2.4.17 donc tu n’est pas touché par CVE-2019-0211 (privilege escalation).
La 2.4.6 est par contre touché par d’autres problèmes comme la CVE-2019-0220 (URL normalization inconsistincy, marqué comme “basse” importance), CVE-2019-0217 (mod_auth_digest access control bypass, plus critique si tu utilises ce système d’authentification).
Logiquement tu devrait avoir une mise à jour de ces paquets sur ta distrib, cela restera une 2.4.6 mais avec les correctifs de centos.
Le 03/04/2019 à 15h56
ouaip c’est un truc qu’il va falloir que je potasse le suivis des CVE un jour, quand j’aurais du temps …. merde