Apache émet un correctif pour une faille zero-day activement exploitée

06 octobre 2021 à 15h08
1
Apache logo © Apache
© Apache

Apache a sorti la version 2.4.50 pour Apache HTTP Server afin de corriger deux vulnérabilités, dont une zero-day activement exploitée.

Plus d'une centaine de milliers de serveurs Apache tournant sur la version 2.4.49 seraient vulnérables à l'attaque.

Une zero-day activement exploitée

Apache a déployé une mise à jour lundi afin de corriger une faille zero-day activement exploitée. Cette faille, traquée comme la CVE-2021-41773, a été introduite lors de la mise à jour 2.4.49 de l'Apache HTTP Server, sortie il y a moins d'un mois. Elle a été rapportée la semaine dernière par Ash Daulton et la cPanel Security Team.

Cette faille permet à un attaquant d'accéder à des fichiers en-dehors du répertoire racine grâce à une attaque de type « path traversal ». Normalement, les requêtes pour accéder à des fichiers et dossiers en dehors du répertoire racine sont bloquées. Mais les chercheurs ont découvert qu'ils pouvaient contourner le blocage en utilisant des caractères codés dans les URL, par exemple « %2e » pour représenter un point.

Grâce à cette technique, un attaquant pourrait accéder à des fichiers sensibles à utiliser dans des attaques supplémentaires. Pour qu'elle puisse fonctionner, il faut que le paramètre « require all denied » soit désactivé et que le serveur tourne avec la version 2.4.49, qui est la seule touchée.

Une deuxième vulnérabilité corrigée

Apache a indiqué que cette vulnérabilité était utilisée dans des attaques, sans les décrire plus en avant ni préciser de quelle manière. Il est estimé que plus d'une centaine de milliers de serveurs Apache possèdent la version 2.4.49 de l'Apache HTTP Server et sont potentiellement vulnérables. Il est donc conseillé de faire la mise à jour le plus vite possible, d'autant plus que les preuves de concept se multiplient.

Une deuxième vulnérabilité a été corrigée dans cette mise à jour. Il s'agit de la CVE-2021-41524, qui permet à un attaquant de réaliser une attaque de déni de service à distance sur un serveur à l'aide d'une requête spécialement créée. Aucune preuve de son utilisation n'a été trouvée.

Dans sa dernière mise à jour de sécurité pour Android, Google a corrigé 41 failles dont la sévérité va de « haute » à « critique ».
Lire la suite

Modifié le 06/10/2021 à 15h08
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
1
2
Paul_Hewson
Très similaire à une faille dans IIS de 2001 (20 ans déjà)… <br /> Voir Mad Irish :: IIS Unicode Directory Traversal Exploit Explained pour les détails.
yam103
C’était le bon temps. Ça marchait super bien, sur plein de serveurs d’entreprises, et y’avait tout un tas de grosses failles grossières de ce genre sur Windows
Voir tous les messages sur le forum

Lectures liées

Microsoft a (encore) signé un pilote qui était en fait un logiciel malveillant
Campus Cyber, le vaisseau amiral de la cybersécurité française, ouvrira ses portes en février 2022
Cybersécurité : les entreprises délaissent le mot de passe et se tournent vers l'authentification biométrique
Guerre de l'information : le ministère des Armées se dote d'une
Google communique sur les attaques informatiques qui visent les youtubeurs depuis 2019
L'Argentine victime d'un piratage hors norme, les données de Lionel Messi dans le lot
La Chine et la Russie soupçonnées d'ingérences numériques, ces mesures qui vont permettre de surveiller la campagne présidentielle
Une vulnérabilité critique découverte dans un langage de programmation utilisé pour des mods de jeux vidéo
Plusieurs vulnérabilités ont été trouvées dans WP Fastest Cache, un plugin WordPress populaire
Acer s’est fait voler des données pour la deuxième fois et par le même groupe de hackers
Haut de page