apache

Apache: Un bug lié à la sécurité des hébergements partagés

Mark J Cox, l’un des membres fondateurs de la Apache Software Foundation et du projet OpenSSL, a publié un tweet alertant les utilisateurs qu’ils avaient découvert une faille importante dans le logiciel Apache.

Ce logiciel est extrêmement populaire, il est utilisé sur plus de 40% des serveurs sur Internet.

La vulnérabilité, identifiée comme CVE-2019-0211, a été découverte par Charles Fol, un ingénieur en sécurité de Ambionics Security, et a été patché par les développeurs d’Apache dans la version 2.4.39 du logiciel.

La faille affecte la version 2.4.17 jusqu’à la version 2.4.38 et permet à un utilisateur d’exécuter du code arbitraire avec des privilèges d’administrateur sur un serveur ciblé.

Bien que le chercheur n’ait pas encore partagé de code d’exploit Proof-of-Concept (PoC) pour cette vulnérabilité, Charles a publié un article expliquant comment on peut exploiter cette faille en 4 étapes:

  1. Obtenir l’accès R/W(Read/Write) sur un processus,
  2. Ecrire une fausse structure prefork_child_bucket dans le SHM,
  3. Pointer all_buckets[bucket] vers la structure,
  4. Attendre 6h25 pour obtenir un appel de fonction arbitraire.

Selon Cox, la vulnérabilité est plus dangereuse pour les services d’hébergement web partagés, où les clients malveillants qui ont la possibilité d’exécuter des scripts PHP ou CGI sur un site peuvent utiliser la faille pour obtenir des droits d’administrateurs sur le serveur. Ils pourraient éventuellement compromettre les autres sites hébergés sur le même serveur.

La dernière version Apache httpd 2.4.39 patch aussi cinq autres problèmes (3 petits et 2 importants).

La seconde importante faille (CVE-2019-0217) permettait à un utilisateur avec des informations de connexion valides de s’authentifier avec un autre nom d’utilisateur, contournant les restrictions de contrôle d’accès.

La troisième vulnérabilité est un contournement de contrôle mod_ssl access (CVE-2019-0215). Un bug dans mod_ssl lors de l’utilisation de la vérification du certificat client avec TLSv1.3 permettait à un client utilisant Post-Handshake Authentication de contourner les restrictions de contrôle d’accès.

Il est donc recommandé de mettre à jour vos serveurs Apache le plus vite possible.

Laisser un commentaire