Connexion
Abonnez-vous

Plusieurs failles importantes dans Apache Web Server, des correctifs à installer rapidement

Plusieurs failles importantes dans Apache Web Server, des correctifs à installer rapidement

Le 03 avril 2019 à 09h37

Plusieurs vulnérabilités sont corrigées dans la mise à jour 2.4.39 du serveur Apache, dont une particulièrement critique. Estampillée CVE-2019-0211, elle a été identifiée par le chercheur en sécurité Charles Fol, de la société française Ambionics Security.

Elle réside dans les versions 2.4.17 à 2.4.38 et permet, si correctement exploitée, à un utilisateur sans grands privilèges d’exécuter arbitrairement du code en mode root. Autant dire un sérieux problème.

Selon Mark J Cox de l’Apache Software Foundation, la faille est particulièrement dangereuse pour les services d’hébergement web partagés où un pirate pourrait exécuter du PHP ou des scripts CGI, activant la faille. Il aurait alors accès à tous les sites sur le même serveur.

La deuxième faille (CVE-2019-0217), importante mais non critique, peut permettre à un utilisateur de s’authentifier avec des identifiants valides mais en utilisant un autre nom, court-circuitant les restrictions de contrôle d’accès.

La dernière (CVE-2019-0215) permet enfin de contourner les contrôles d’accès pour tout client supportant la Post-Handshake Authentication.

Toutes ces failles sont corrigées dans la version 2.4.39 du serveur, qu’il faut donc installer au plus vite.

 

Le 03 avril 2019 à 09h37

Commentaires (15)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Merci de l’info ! <img data-src=" />

votre avatar

et là tu lance un yum update :



httpd.x86_64&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 2.4.6-88.el7.centos



et tu sais pas si t’es bon ou pas :/

votre avatar

Ça n’a pas l’air de s’appliquer à distance.

C’est critique si tu laisse des gens uploader leurs scripts php sur ton serveur.

votre avatar

je me demande toujours comment une faille dans un service qui normalement n’est pas lancé par root peut permettre de devenir root :/&nbsp;



pour celui qui lance apache en mode root ok je comprend

mais normalement t’as un utilisateur www (ou un truc du genre)

votre avatar

Bon, y a plus qu’à patienter, en gros :-/

https://security-tracker.debian.org/tracker/CVE-2019-0211

votre avatar

Du lourd cette faille !

votre avatar

Merci pour l’info <img data-src=" />

votre avatar

Mais c’est déjà tout bon, non ? le canal security est patché.

votre avatar

Apache 2.4.6, package build en novembre 2018, donc non, ce n’est pas bon, au moins sur certaines failles importantes.




Si tu regarde le changelog, ça donne quoi ?&nbsp;https://possiblelossofprecision.net/?p=1586   





Je ne comprends pas la difficulté.

votre avatar







alain57 a écrit :



je me demande toujours comment une faille dans un service qui normalement n’est pas lancé par root peut permettre de devenir root :/&nbsp;



pour celui qui lance apache en mode root ok je comprend

mais normalement t’as un utilisateur www (ou un truc du genre)





Techniquement Apache est presque toujours lancé en root pour pouvoir binder les ports 80 et 443. C’est en interne qu’il peut passer sous un utilisateur autre que root.

S’il y a une faille avant de changement de propriétaire… Mais en l’occurence pour les failles indiquée ici, ça ne semble pas ce jouer dans cette partie du code.


votre avatar







Hal75 a écrit :



Bon, y a plus qu’à patienter, en gros :-/

https://security-tracker.debian.org/tracker/CVE-2019-0211





Les nouveaux paquets Debian sont dispo depuis midi.


votre avatar







TheMyst a écrit :



Mais c’est déjà tout bon, non ? le canal security est patché.





maintenant oui :-) au moment où j’ai regardé ce n’était pas dispo .


votre avatar







TheMyst a écrit :



Apache 2.4.6, package build en novembre 2018, donc non, ce n’est pas bon, au moins sur certaines failles importantes.




 Si tu regarde le changelog, ça donne quoi ?&nbsp;https://possiblelossofprecision.net/?p=1586  





Je ne comprends pas la difficulté.







la difficulté c’est que je manquais de coca je sais pas pourquoi je me suis dis 6&gt;34 …


votre avatar

La faille à été introduite dans la 2.4.17 donc tu n’est pas touché par CVE-2019-0211 (privilege escalation).



La 2.4.6 est par contre touché par d’autres problèmes comme la CVE-2019-0220 (URL normalization inconsistincy, marqué comme “basse” importance), CVE-2019-0217 (mod_auth_digest access control bypass, plus critique si tu utilises ce système d’authentification).



Logiquement tu devrait avoir une mise à jour de ces paquets sur ta distrib, cela restera une 2.4.6 mais avec les correctifs de centos.

votre avatar

ouaip c’est un truc qu’il va falloir que je potasse le suivis des CVE un jour, quand j’aurais du temps …. merde

Plusieurs failles importantes dans Apache Web Server, des correctifs à installer rapidement

Fermer