Apache 2.4.51 publié en urgence, dans la foulée de la 2.4.50
Quelques jours à peine après la sortie de la version 2.4.50, l'Apache Software Foundation a publié Apache 2.4.51 car la précédente mise à jour ne corrigeait que partiellement la faille CVE-2021-41773 présente dans la version 2.4.49.
Dans le but de corriger la faille zero-day CVE-2021-41773 et une autre faille de sécurité au sein d'Apache 2.4.49, l'Apache Software Foundation a publié la version 2.4.50 du serveur Web. Malheureusement, des chercheurs en sécurité ont constaté que le correctif n'était pas suffisamment efficace et qu'il corrigeait partiellement la vulnérabilité.
Rappel au sujet de la faille CVE-2021-41773
Cette vulnérabilité permet d'effectuer une attaque "Path transversal" afin d'accéder à des fichiers situés en dehors de la racine du site, mais aussi de récupérer ces fichiers. Elle est exploitable si vous utilisez Apache 2.4.49 (et seulement cette version) et qu'Apache n'est pas configuré avec la directive "require all denied" sur les fichiers en dehors de la racine du site (DocumentRoot). Par défaut, Apache n'est pas configuré de cette façon, ce qui est d'autant plus alarmant.
Apache 2.4.50 et la faille CVE-2021-42013
Le nouveau vecteur d'attaque découvert dans Apache 2.4.50 a donné lieu à une nouvelle référence CVE : CVE-2021-42013. Elle offre les mêmes possibilités que la faille dans Apache 2.4.49, à savoir accéder à des fichiers en dehors de la racine du site.
D'après l'US-CERT, des scans de serveurs Web sont en cours afin d'exploiter les vulnérabilités CVE-2021-41773 et CVE-2021-42013. Maintenant que ces failles sont connues publiquement, les pirates ne vont pas tarder à développer des exploits prêts à l'emploi, si ce n'est pas déjà fait...
🚨 Active scanning of Apache HTTP Server CVE-2021-41773 & CVE-2021-42013 is ongoing and expected to accelerate, likely leading to exploitation. Please patch immediately if you haven’t already—this cannot wait until after the weekend. Read more: https://t.co/4Ljk730wz4 pic.twitter.com/TYPiXhOluf
— US-CERT (@USCERT_gov) October 7, 2021
Si vous utilisez Apache 2.4.49, il est fortement recommandé de passer en version 2.4.51 dès maintenant. Si vous venez d'installer Apache 2.4.50 cette semaine, c'est pareil, vous devez repasser par la case mise à jour pour passer sur Apache 2.4.51.
