Origine: bjCSIRT
Numéro: 2021/ALERTE/042
Date de l’alerte: 11/10/2021
APERÇU :
Trois vulnérabilités libellées CVE-2021-41773, CVE-2021-42013 et CVE-2021-41524 ont été découvertes sur des versions de Apache HTTP Server.
Elles permettraient à un attaquant d’exécuter un déni de service à distance, une atteinte à l’intégrité et à la confidentialité des données et une exécution du code à distance.
DESCRIPTION :
La vulnérabilité libellée CVE-2021-41773 a été découverte suite à une modification apportée à la normalisation des chemins dans Apache HTTP Server 2.4.49. Ladite modification entraîne une erreur de normalisation de chemin qui permettrait à un attaquant d’accéder et de visualiser de façon arbitraire des fichiers stockés sur un serveur web Apache vulnérable. Ainsi, un attaquant pourrait utiliser une vulnérabilité de limitation inappropriée d’un nom de chemin vers un répertoire restreint nommé « Path Traversal » pour mapper des URL vers des fichiers en dehors de la racine de document attendue. En effet, si les fichiers localisés en dehors de la racine du document ne sont pas protégés par « require all denied », les requêtes malveillantes pourraient aboutir. De plus, cette faille peut entraîner une fuite de la source des fichiers tels que les scripts CGI.
Une nouvelle vulnérabilité libellée CVE-2021-42013, complète celle du CVE-2021-41773 car elle affecte également la version 2.4.50 de Apache. Elle pourrait être exploitée pour obtenir une exécution de code à distance si le module «mod_cgi » est actif et que la configuration «require all denied », est également absente.
Quant à la vulnérabilité CVE-2021-41524, il s’agit d’une faille de « déréférencement de pointeur null » observée lors du traitement des requêtes HTTP/2. Cela permettrait ainsi à un acteur malveillant d’effectuer un déni de service (DoS) sur le serveur.
Ces vulnérabilités de type « zero-day » sont activement exploitées sur les services Apache exposés sur internet.
IMPACT :
- Atteinte à l’intégrité des données
- Atteinte à la confidentialité des données
- Déni de service
- Exécution de code à distance
SYSTEMES AFFECTÉS :
- Les versions 2.4.49 et 2.4.50 de « Apache HTTP server » sont affectées.
MESURES À PRENDRE :
Il est fortement recommandé aux utilisateurs de mettre à jour Apache vers la version 2.4.51 afin d’atténuer le risque associé aux vulnérabilités
REFERENCES :
- https://thehackernews.com/2021/10/apache-warns-of-zero-day-exploit-in.html
- https://httpd.apache.org/security/vulnerabilities_24.html
- https://nvd.nist.gov/vuln/detail/CVE-2021-42013