Sécurité Du Serveur Web Apache

Si votre serveur Web fonctionne sur Apache, vous devez immédiatement installer la dernière version disponible de l’application serveur pour empêcher les pirates de prendre un contrôle non autorisé sur celui-ci.

Apache a récemment corrigé plusieurs vulnérabilités dans son logiciel de serveur Web qui auraient pu potentiellement conduire à l’exécution de code arbitraire et, dans des scénarios spécifiques, même permettre à des attaquants de provoquer un crash et un déni de service.

Les failles, suivies comme CVE-2020-9490, CVE-2020-11984, CVE-2020-11993, étaient découvert par Felix Wilhelm de Google Project Zero, et ont depuis été abordés par la Fondation Apache dans la dernière version du logiciel (2.4.46).

La Cyber-Sécurité

Le premier des trois problèmes implique une éventuelle vulnérabilité d’exécution de code à distance due à un dépassement de mémoire tampon avec le module « mod_uwsgi » (CVE-2020-11984), permettant potentiellement à un adversaire de visualiser, modifier ou supprimer des données sensibles en fonction des privilèges associés avec une application exécutée sur le serveur.

« [A] Une demande malveillante peut entraîner la divulgation d’informations ou [remote code execution] d’un fichier existant sur le serveur s’exécutant dans un environnement de processus malveillant,  » Apache a noté.

Publicité

Une deuxième faille concerne une vulnérabilité qui se déclenche lorsque le débogage est activé dans le « mod_http2« (CVE-2020-11993), provoquant la création d’instructions de journalisation sur une mauvaise connexion et donc une corruption de la mémoire en raison de l’utilisation simultanée du pool de journaux.

CVE-2020-9490, le plus sévère des trois, réside également dans le module HTTP / 2 et utilise un en-tête ‘Cache-Digest’ spécialement conçu pour provoquer une corruption de mémoire pour conduire à un plantage et un déni de service.

Cache Digest fait partie d’un désormais abandonné fonction d’optimisation Web qui vise à résoudre un problème avec les poussées de serveur – qui permet à un serveur d’envoyer de manière préventive des réponses à un client à l’avance – en permettant aux clients d’informer le serveur de leur contenu fraîchement mis en cache afin que la bande passante ne soit pas gaspillée en envoyant des ressources qui sont déjà dans le cache du client.

Ainsi, lorsqu’une valeur spécialement conçue est injectée dans l’en-tête ‘Cache-Digest’ dans une requête HTTP / 2, cela provoquerait un plantage lorsque le serveur envoie un paquet PUSH en utilisant l’en-tête. Sur les serveurs non corrigés, ce problème peut être résolu en tournant le Serveur HTTP / 2 push fonction désactivée.

Bien qu’il n’y ait actuellement aucun rapport sur l’exploitation de ces vulnérabilités dans la nature, il est essentiel que les correctifs soient appliqués aux systèmes vulnérables immédiatement après des tests appropriés et de s’assurer que l’application a été configurée avec uniquement les autorisations requises afin d’atténuer l’impact. .


Rate this post
Publicité
Article précédentComment installer Linux Mint 20 avec Windows 10 ou 8 en mode UEFI à double démarrage
Article suivantIot et numérisation dans les tendances et perspectives émergentes de l’assurance 2027 – The News Brok
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici