© Apache
© Apache

Apache a sorti la version 2.4.50 pour Apache HTTP Server afin de corriger deux vulnérabilités, dont une zero-day activement exploitée.

Plus d'une centaine de milliers de serveurs Apache tournant sur la version 2.4.49 seraient vulnérables à l'attaque.

Une zero-day activement exploitée

Apache a déployé une mise à jour lundi afin de corriger une faille zero-day activement exploitée. Cette faille, traquée comme la CVE-2021-41773, a été introduite lors de la mise à jour 2.4.49 de l'Apache HTTP Server, sortie il y a moins d'un mois. Elle a été rapportée la semaine dernière par Ash Daulton et la cPanel Security Team.

Cette faille permet à un attaquant d'accéder à des fichiers en-dehors du répertoire racine grâce à une attaque de type « path traversal ». Normalement, les requêtes pour accéder à des fichiers et dossiers en dehors du répertoire racine sont bloquées. Mais les chercheurs ont découvert qu'ils pouvaient contourner le blocage en utilisant des caractères codés dans les URL, par exemple « %2e » pour représenter un point.

Grâce à cette technique, un attaquant pourrait accéder à des fichiers sensibles à utiliser dans des attaques supplémentaires. Pour qu'elle puisse fonctionner, il faut que le paramètre « require all denied » soit désactivé et que le serveur tourne avec la version 2.4.49, qui est la seule touchée.

Une deuxième vulnérabilité corrigée

Apache a indiqué que cette vulnérabilité était utilisée dans des attaques, sans les décrire plus en avant ni préciser de quelle manière. Il est estimé que plus d'une centaine de milliers de serveurs Apache possèdent la version 2.4.49 de l'Apache HTTP Server et sont potentiellement vulnérables. Il est donc conseillé de faire la mise à jour le plus vite possible, d'autant plus que les preuves de concept se multiplient.

Une deuxième vulnérabilité a été corrigée dans cette mise à jour. Il s'agit de la CVE-2021-41524, qui permet à un attaquant de réaliser une attaque de déni de service à distance sur un serveur à l'aide d'une requête spécialement créée. Aucune preuve de son utilisation n'a été trouvée.