Plusieurs vulnérabilités sont corrigées dans la mise à jour 2.4.39 du serveur Apache, dont une particulièrement critique. Estampillée CVE-2019-0211, elle a été identifiée par le chercheur en sécurité Charles Fol, de la société française Ambionics Security.
Elle réside dans les versions 2.4.17 à 2.4.38 et permet, si correctement exploitée, à un utilisateur sans grands privilèges d’exécuter arbitrairement du code en mode root. Autant dire un sérieux problème.
Selon Mark J Cox de l’Apache Software Foundation, la faille est particulièrement dangereuse pour les services d’hébergement web partagés où un pirate pourrait exécuter du PHP ou des scripts CGI, activant la faille. Il aurait alors accès à tous les sites sur le même serveur.
La deuxième faille (CVE-2019-0217), importante mais non critique, peut permettre à un utilisateur de s’authentifier avec des identifiants valides mais en utilisant un autre nom, court-circuitant les restrictions de contrôle d’accès.
La dernière (CVE-2019-0215) permet enfin de contourner les contrôles d’accès pour tout client supportant la Post-Handshake Authentication.
Toutes ces failles sont corrigées dans la version 2.4.39 du serveur, qu’il faut donc installer au plus vite.
Commentaires (15)
#1
Merci de l’info !
" />
#2
et là tu lance un yum update :
httpd.x86_64 2.4.6-88.el7.centos
et tu sais pas si t’es bon ou pas :/
#3
Ça n’a pas l’air de s’appliquer à distance.
C’est critique si tu laisse des gens uploader leurs scripts php sur ton serveur.
#4
je me demande toujours comment une faille dans un service qui normalement n’est pas lancé par root peut permettre de devenir root :/
pour celui qui lance apache en mode root ok je comprend
mais normalement t’as un utilisateur www (ou un truc du genre)
#5
Bon, y a plus qu’à patienter, en gros :-/
https://security-tracker.debian.org/tracker/CVE-2019-0211
#6
Du lourd cette faille !
#7
Merci pour l’info
" />
#8
Mais c’est déjà tout bon, non ? le canal security est patché.
#9
Apache 2.4.6, package build en novembre 2018, donc non, ce n’est pas bon, au moins sur certaines failles importantes.
Je ne comprends pas la difficulté.
#10
#11
#12
#13
#14
La faille à été introduite dans la 2.4.17 donc tu n’est pas touché par CVE-2019-0211 (privilege escalation).
La 2.4.6 est par contre touché par d’autres problèmes comme la CVE-2019-0220 (URL normalization inconsistincy, marqué comme “basse” importance), CVE-2019-0217 (mod_auth_digest access control bypass, plus critique si tu utilises ce système d’authentification).
Logiquement tu devrait avoir une mise à jour de ces paquets sur ta distrib, cela restera une 2.4.6 mais avec les correctifs de centos.
#15
ouaip c’est un truc qu’il va falloir que je potasse le suivis des CVE un jour, quand j’aurais du temps …. merde