ClickCease Ubuntu corrige plusieurs vulnérabilités du serveur HTTP Apache

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

Ubuntu corrige plusieurs vulnérabilités du serveur HTTP Apache

par Rohan Timalsina

25 juillet 2024 - L'équipe d'experts de TuxCare

Plusieurs failles de sécurité ont été découvertes dans le serveur HTTP Apache, ce qui pourrait entraîner un déni de service ou l'exposition d'informations sensibles. Heureusement, elles ont été corrigées dans la nouvelle version et il est fortement recommandé de mettre à jour le paquetage du serveur HTTP Apache. Canonical a également publié des mises à jour de sécurité pour corriger ces vulnérabilités dans plusieurs versions de son système d'exploitation, notamment Ubuntu 24.04 LTS, Ubuntu 23.10, Ubuntu 22.04 LTS et Ubuntu 20.04 LTS.

 

Correction des vulnérabilités du serveur HTTP Apache

 

CVE-2024-36387

Le serveur Apache HTTP gère incorrectement le service des mises à jour du protocole WebSocker via une connexion HTTP/2. Un attaquant distant peut exploiter ce problème pour faire planter le serveur, ce qui entraîne un déni de service.

 

CVE-2024-38473

Le module mod_proxy du serveur HTTP Apache envoie de manière incorrecte certaines URLs de requête avec des encodages incorrects aux backends. Un attaquant distant peut utiliser ceci pour contourner le mécanisme d'authentification.

 

CVE-2024-38474, CVE-2024-38475, CVE-2024-39573

Trois vulnérabilités ont été découvertes dans le serveur HTTP Apache, le module mod_rewrite gérant de manière incorrecte certaines substitutions. L'exploitation de ces problèmes pourrait permettre à un attaquant distant d'exécuter des scripts dans des répertoires qui ne sont pas directement accessibles par une URL, ou de provoquer un déni de service. Certains environnements peuvent nécessiter l'utilisation du nouveau drapeau UnsafeAllow3F pour gérer les substitutions non sûres.

 

CVE-2024-38476

Il a été découvert que le serveur HTTP Apache traite incorrectement certains en-têtes de réponse. Cette vulnérabilité pourrait être exploitée par un attaquant distant pour obtenir des informations sensibles, exécuter des scripts locaux ou effectuer des attaques de type SSRF (Server-Side Request Forgery).

 

CVE-2024-38477

Autre problème lié au module mod_proxy, cette vulnérabilité implique un traitement incorrect de certaines requêtes, ce qui peut conduire à un déni de service (plantage du serveur).

 

CVE-2024-39884

Cette vulnérabilité a été découverte dans la manière dont le serveur HTTP Apache gère certains gestionnaires configurés via AddType. Un attaquant distant peut potentiellement exploiter cette vulnérabilité pour obtenir du code source.

 

Comment rester en sécurité ?

 

Pour protéger votre système de ces vulnérabilités, il est essentiel de mettre à jour votre serveur HTTP Apache vers la dernière version. Pour les utilisateurs des versions d'Ubuntu prises en charge, telles qu'Ubuntu 24.04 LTS, Ubuntu 23.10, Ubuntu 22.04 LTS et Ubuntu 20.04 LTS, Canonical a mis à disposition les mises à jour nécessaires. Une mise à jour standard du système implémentera tous les changements nécessaires pour sécuriser votre serveur.

La mise à jour de votre système vers les dernières versions de paquets peut être facilement effectuée à l'aide du gestionnaire de paquets apt. Voici un guide rapide :

Mettre à jour la liste des paquets :

$ sudo apt update

 

Mettre à jour les paquets installés :

$ sudo apt upgrade

 

Pour les systèmes en fin de vie (EOL) comme Ubuntu 16.04 et Ubuntu 18.04, l'obtention des mises à jour de sécurité nécessite un abonnement Ubuntu Pro. Cet abonnement peut être coûteux, mais il fournit des mises à jour de sécurité essentielles. Le service Extended Lifecycle Support de TuxCare offre une solution plus abordable, en fournissant des correctifs de sécurité de qualité pour une période supplémentaire pouvant aller jusqu'à cinq ans après la date de fin de vie. Ce service couvre le paquet Apache, le noyau Linux, OpenSSL, glibc, OpenSSH, Python et divers autres paquets.

 

Source : USN-6885-1

Résumé
Ubuntu corrige plusieurs vulnérabilités du serveur HTTP Apache
Nom de l'article
Ubuntu corrige plusieurs vulnérabilités du serveur HTTP Apache
Description
Découvrez les multiples vulnérabilités du serveur HTTP Apache corrigées dans la récente mise à jour d'Ubuntu. Sécurisez dès maintenant vos systèmes contre les risques potentiels.
Auteur
Nom de l'éditeur
de TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Aidez-nous à comprendre
le paysage Linux !

Répondez à notre enquête sur l'état de l'Open Source et vous pourrez gagner l'un des nombreux prix, dont le premier est d'une valeur de 500 $ !

Votre expertise est nécessaire pour façonner l'avenir d'Enterprise Linux !