Correction de plusieurs vulnérabilités d'Apache récemment divulguées

Au début du mois, une autre série de vulnérabilités a été publiquement divulguée, cette fois dans le code Apache. Étant donné qu'Apache est, et a été pendant un certain temps, le serveur web de facto pour la (majorité de) l'Internet, même les vulnérabilités à faible impact qui l'affectent peuvent avoir des effets considérables.

Les versions d'Apache concernées vont de la version 2.4.0 (une vulnérabilité sur les quatre qui ont été divulguées commence à affecter la version 2.4.39) à la version 2.4.46 incluse.

Les correctifs sont déjà disponibles pour les systèmes protégés par l'Extended Lifecycle Support.

Examinons de plus près ces vulnérabilités. La première est nommée CVE-2020-35452, et il s'agit d'un débordement de pile potentiel de mod_auth_digest à faible impact. Selon la description, bien que la vulnérabilité ait été détectée dans le code, il serait difficile de la déclencher sans l'utilisation de paramètres de compilation particuliers lors de la compilation du code Apache. Cependant, maintenant que le problème est connu et que les acteurs malveillants sont ce qu'ils sont, ils essaient sans aucun doute de trouver des moyens de l'exploiter. Si l'on se souvient des précédentes vulnérabilités par débordement de pile, la transformation d'une exploitation réussie en exécution de code arbitraire est courante.

Ensuite, CVE-2021-26690 est une autre vulnérabilité à faible impact, cette fois dans mod_session, où une déréférence de pointeur NULL peut faire planter Apache et provoquer un déni de service. En interne, l'équipe TuxCare a déterminé qu'il ne s'agissait pas d'une vulnérabilité à faible impact, mais d'une vulnérabilité à risque modéré. Un Proof-of-Concept a été développé pour tester la faille, et il a fait planter de manière fiable les processus enfants d'Apache. Étant donné que la divulgation est récente, il est possible que le niveau de gravité soit bientôt relevé dans le registre officiel CVE.

Une autre vulnérabilité à faible impact affectant mod_session, CVE-2021-26691, est un problème dans la façon dont les réponses sont traitées lorsqu'Apache communique avec des processeurs de requêtes dorsaux comme PHP. Si elle est exploitée, cette vulnérabilité peut conduire à un débordement de tas et à une éventuelle exfiltration d'informations. En raison de la façon dont la communication se déroule entre Apache et le backend, il n'est pas facilement exploitable, et si un attaquant était en mesure de le faire, attaquer Apache de cette façon serait une alternative alambiquée à ce qu'il avait déjà à sa disposition.

Le dernier problème de ce lot est une vulnérabilité d'impact modéré, CVE-2021-30641, causée par une correspondance d'URL inattendue lors de l'utilisation de "MergeSlashes OFF" dans la configuration. Bien que les détails ne soient pas encore totalement disponibles, la fonctionnalité mentionnée pourrait potentiellement conduire à un contournement des contrôles de sécurité par le biais d'URLs spécialement conçues. Les rapports officiels ne mentionnent pas qu'Ubuntu est susceptible d'être touché par ce problème, mais des tests internes ont révélé qu'il l'était effectivement, de sorte que des correctifs pour ce système ont également été mis à disposition.

Si vous utilisez nginx plutôt qu'Apache, et au cas où vous l'auriez manqué, une vulnérabilité a été révélée à la fin du mois dernier et corrigée par l'équipe de TuxCare. Pour en savoir plus , cliquez ici.

L'équipe TuxCare, comme toujours, teste toutes les vulnérabilités pour que vous n'ayez pas à le faire. Si vous êtes déjà abonné au service Extended Lifecycle Support, vous disposez déjà des correctifs pour les systèmes concernés. Si vous cherchez plus d'informations sur ce service, vous pouvez les trouver ici.