serveur apache faille

Deux failles dans les serveurs Apache

Il y a quelques jours, la fondation Apache a corrigé deux failles lors d’une mise à jour du serveur web http. Une des deux failles est activement exploitées alors que des centaines de milliers de serveurs doivent encore être mis à jour.

Les serveurs Apache sont parmi les plus populaires. Il faut dire qu’ils sont gratuits, open source et relativement fiables. Gratuité n’est donc pas synonyme de bon marché. Cependant, ils souffrent tout de même de quelques failles, dont deux viennent d’être corrigées.

Les serveurs HTTP d’Apache souffrent de deux failles de sécurité

La première est liée à des attaques dites de répertoires. Dans ce cas de figure, l’attaque envoie des requêtes vers des répertoires qui ne sont pas censés être joignables. Les requêtes devraient être bloquées, mais ce n’est pas le cas. Il est alors possible de récupérer des données, de les exfiltrer. De cette manière, on peut également obtenir le code source des scripts CGI, par exemple. Cette faille est connue sous le code CVE-2021-41773. Bonne chose, toutes les cibles ne sont pas vulnérables. Elles doivent se trouver sur un serveur http Apache 2.4.49 et avoir le contrôle d’accès paramétré sur « require all denied. » D’après les dernières infos, il semble que la faille soit plus grave qu’annoncé. Certains experts pensent que la réponse de la fondation Apache n’est pas suffisante pour couvrir le risque.

La seconde faille, dont le code est CVE-2021-41524, est une déréférence de pointeur nul. Elle peut servir à quiconque veut réaliser une attaque par déni de service, ce qui rend les sites injoignables.

Tous les serveurs ne sont pas encore à jour avec la version 2.4.50, mais ce n’est qu’une question de temps.