Plusieurs vulnérabilités d'Apache récemment divulguées sont corrigées

Au début du mois, une nouvelle série de vulnérabilités a été rendue publique, cette fois-ci dans le code Apache. Apache étant, depuis un certain temps, le serveur web de facto pour la (majorité de) l'internet, même les vulnérabilités à faible impact qui l'affectent peuvent avoir des effets considérables.

Les versions d'Apache concernées vont de la version 2.4.0 (une vulnérabilité sur les quatre qui ont été divulguées commence à affecter la version 2.4.39) à la version 2.4.46 incluse.

Des correctifs sont déjà disponibles pour les systèmes protégés par l'Extended Lifecycle Support.

Examinons ces vulnérabilités de plus près. La première est nommée CVE-2020-35452, et il s'agit d'un débordement de pile potentiel de mod_auth_digest à faible impact. Selon la description, bien que la vulnérabilité ait été détectée dans le code, il serait difficile de la déclencher sans l'utilisation de paramètres de drapeau de compilateur particuliers lors de la compilation du code d'Apache. Cependant, maintenant que le problème est révélé au grand jour et que les acteurs malveillants sont ce qu'ils sont, il ne fait aucun doute qu'ils essaient de trouver des moyens de l'exploiter. Si l'on se souvient des précédentes vulnérabilités de débordement de pile, il est courant de transformer un exploit réussi en une exécution de code arbitraire.

Ensuite, CVE-2021-26690 est une autre vulnérabilité à faible impact, cette fois dans mod_session, où un déréférencement de pointeur NULL peut faire planter Apache et provoquer un déni de service. En interne, l'équipe de TuxCare a déterminé qu'il ne s'agissait pas d'une vulnérabilité à faible impact, mais plutôt d'une vulnérabilité à risque modéré. Une preuve de concept a été développée pour tester la faille, et elle a provoqué de manière fiable l'arrêt des processus enfants d'Apache. Étant donné que la divulgation a eu lieu récemment, il est possible que la gravité soit bientôt augmentée dans l'enregistrement CVE officiel.

Une autre vulnérabilité à faible impact affectant mod_session, CVE-2021-26691, est un problème dans la manière dont les réponses sont traitées lorsqu'Apache communique avec des processeurs de requêtes dorsaux comme PHP. Si elle est exploitée, cette vulnérabilité peut conduire à un débordement de tas et à une possible exfiltration d'informations. En raison de la façon dont la communication s'effectue entre Apache et le backend, elle n'est pas facilement exploitable, et si un attaquant était en mesure de le faire, attaquer Apache de cette façon serait une alternative alambiquée à ce qu'il avait déjà à sa disposition.

Le dernier problème de ce lot est une vulnérabilité à impact modéré, CVE-2021-30641, causée par une correspondance d'URL inattendue lors de l'utilisation de "MergeSlashes OFF" dans la configuration. Bien que les détails ne soient pas encore entièrement disponibles, la fonctionnalité mentionnée pourrait potentiellement conduire à un contournement des contrôles de sécurité par le biais d'URL spécialement conçues. Les rapports officiels ne mentionnent pas qu'Ubuntu est susceptible d'être affecté par ce problème, mais des tests internes ont révélé que c'était effectivement le cas, de sorte que des correctifs pour ce système ont également été mis à disposition.

Si vous utilisez nginx plutôt qu'Apache, et au cas où vous l'auriez manqué, une vulnérabilité a été révélée à la fin du mois dernier et corrigée par l'équipe de TuxCare. Pour en savoir plus , cliquez ici.

Comme toujours, l'équipe de TuxCare teste toutes les vulnérabilités pour vous éviter d'avoir à le faire. Si vous êtes déjà abonné au service Extended Lifecycle Support, vous disposez déjà des correctifs pour les systèmes concernés. Si vous cherchez plus d'informations sur ce service, vous pouvez les trouver ici.