Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Plusieurs failles importantes dans Apache Web Server, des correctifs à installer rapidementCrédits : Toa55/iStock

Plusieurs vulnérabilités sont corrigées dans la mise à jour 2.4.39 du serveur Apache, dont une particulièrement critique. Estampillée CVE-2019-0211, elle a été identifiée par le chercheur en sécurité Charles Fol, de la société française Ambionics Security.

Elle réside dans les versions 2.4.17 à 2.4.38 et permet, si correctement exploitée, à un utilisateur sans grands privilèges d’exécuter arbitrairement du code en mode root. Autant dire un sérieux problème.

Selon Mark J Cox de l’Apache Software Foundation, la faille est particulièrement dangereuse pour les services d’hébergement web partagés où un pirate pourrait exécuter du PHP ou des scripts CGI, activant la faille. Il aurait alors accès à tous les sites sur le même serveur.

La deuxième faille (CVE-2019-0217), importante mais non critique, peut permettre à un utilisateur de s’authentifier avec des identifiants valides mais en utilisant un autre nom, court-circuitant les restrictions de contrôle d’accès.

La dernière (CVE-2019-0215) permet enfin de contourner les contrôles d’accès pour tout client supportant la Post-Handshake Authentication.

Toutes ces failles sont corrigées dans la version 2.4.39 du serveur, qu’il faut donc installer au plus vite.

 

15 commentaires
Avatar de Inny Abonné
Avatar de InnyInny- 03/04/19 à 08:18:45

Merci de l'info ! :yes:

Avatar de al_bebert INpactien
Avatar de al_bebertal_bebert- 03/04/19 à 08:25:19

et là tu lance un yum update :

httpd.x86_64                                                                                                       2.4.6-88.el7.centos

et tu sais pas si t'es bon ou pas :/

Avatar de Obidoub Abonné
Avatar de ObidoubObidoub- 03/04/19 à 08:46:49

Ça n'a pas l'air de s'appliquer à distance.
C'est critique si tu laisse des gens uploader leurs scripts php sur ton serveur.

Avatar de alain57 INpactien
Avatar de alain57alain57- 03/04/19 à 08:49:44

je me demande toujours comment une faille dans un service qui normalement n'est pas lancé par root peut permettre de devenir root :/ 

pour celui qui lance apache en mode root ok je comprend
mais normalement t'as un utilisateur www (ou un truc du genre)

Avatar de Hal75 Abonné
Avatar de Hal75Hal75- 03/04/19 à 09:00:15

Bon, y a plus qu'à patienter, en gros :-/
https://security-tracker.debian.org/tracker/CVE-2019-0211

Avatar de tiny_naxos INpactien
Avatar de tiny_naxostiny_naxos- 03/04/19 à 09:04:41

Du lourd cette faille !

Avatar de Pierre_ INpactien
Avatar de Pierre_Pierre_- 03/04/19 à 09:11:59

Merci pour l'info :chinois:

Avatar de TheMyst INpactien
Avatar de TheMystTheMyst- 03/04/19 à 10:21:52

Mais c'est déjà tout bon, non ? le canal security est patché.

Avatar de TheMyst INpactien
Avatar de TheMystTheMyst- 03/04/19 à 10:31:37

Apache 2.4.6, package build en novembre 2018, donc non, ce n'est pas bon, au moins sur certaines failles importantes.

Si tu regarde le changelog, ça donne quoi ? [https://possiblelossofprecision.net/?p=1586](https://possiblelossofprecision.net/?p=1586)

Je ne comprends pas la difficulté.

Édité par TheMyst le 03/04/2019 à 10:32
Avatar de ort Abonné
Avatar de ortort- 03/04/19 à 11:46:40

alain57 a écrit :

je me demande toujours comment une faille dans un service qui normalement n'est pas lancé par root peut permettre de devenir root :/ 

pour celui qui lance apache en mode root ok je comprend
mais normalement t'as un utilisateur www (ou un truc du genre)

Techniquement Apache est presque toujours lancé en root pour pouvoir binder les ports 80 et 443. C'est en interne qu'il peut passer sous un utilisateur autre que root.
S'il y a une faille avant de changement de propriétaire... Mais en l'occurence pour les failles indiquée ici, ça ne semble pas ce jouer dans cette partie du code.

Il n'est plus possible de commenter cette actualité.
Page 1 / 2