5/5 - (5 votes)

Apache corrige une faille critique HTTP Server.

Avis de sécurité Apache du 19 octobre 2023. De multiples vulnérabilités ont été découvertes dans Apache HTTP Server. Elles permettent à un attaquant de provoquer un déni de service à distance et une atteinte à la confidentialité des données.

CVE-2023-43622 : Serveur HTTP Apache : DoS en HTTP/2 avec des fenêtres initiales de taille nulle (cve.mitre.org). Un attaquant, ouvrant une connexion HTTP/2 avec une fenêtre initiale de taille 0, a pu bloquer la gestion de cette connexion indéfiniment dans Apache HTTP Server. Cela pourrait être utilisé pour épuiser les ressources du serveur.

Déjà en octobre 2021, Apache corrigeait une vulnérabilité critique Zero Day sur son projet open source de serveur HTTP. Elle corrigeait un grand nombre de failles de sécurité, notamment un bug de contournement de validation, un déréférencement de pointeur NULL, un problème de déni de service et une vulnérabilité grave de type SSRF (Server-Side Request Forgery).


La fondation Apache est une communauté décentralisée de développeurs qui travaillent sur ses projets open source. Les projets Apache sont caractérisés par un mode de développement collaboratif fondé sur le consensus ainsi que par une licence de logiciel ouverte et pragmatique. L'Apache Software Foundation (ASF) est une organisation à but non lucratif qui développe des logiciels open source sous la licence Apache. La fondation est à l'origine du développement de la suite gratuite OpenOffice basée sur le modèle de Microsoft Office.


La confidentialité a été définie par l'Organisation internationale de normalisation comme « le fait de s'assurer que l'information n'est accessible qu'à ceux dont l'accès est autorisé », et est une des pierres angulaires de la sécurité de l'information. La confidentialité permet d'empêcher un accès non autorisé à des informations qui présentent un caractère sensible. Les intrusions dans les réseaux d'entreprise qui ne sont pas assez protégées, les négligences des personnes qui exposent des données non chiffrées, les niveaux insuffisants des contrôles d'accès sont autant de situations qui mettent en péril la confidentialité des données. De plus en plus de navigateurs, comme par exemple QWant et surtout Brave, se lancent dans une politique de confidentialité des données de navigation. Nul doute que l'utilisation d'un Réseau Privé Virtuel chiffré (VPN) et l'utilisation de données dans un cloud sécurisé améliorent la confidentialité et la sécurité des échanges. En juin 2023, la société Proton lance son extension de navigateur Proton Pass. Un gestionnaire de mots de passe sécurisé, gratuit et open source.


Une attaque par déni de service (Denial Of Service attack, d’où l’abréviation DoS) est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser. Il peut s’agir de la perturbation des connexions entre deux machines, empêchant l’accès à un service particulier, de l’inondation d’un réseau afin d’empêcher son fonctionnement, de l’obstruction d’accès à un service à une personne en particulier, également le fait d’envoyer des milliards d’octets à une box internet. L’attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l’accès à un serveur web ou empêcher la distribution de courriel dans une entreprise. Ce mode d'attaque est largement utilisé par les pirates via des failles de sécurité "Zero Day" ou l'absence de mise à jour automatiques.


Le logiciel libre Apache HTTP Server est un serveur HTTP créé et maintenu au sein de la fondation Apache. Jusqu'en avril 2019, ce fut le serveur HTTP le plus populaire du World Wide Web. Il est distribué selon les termes de la licence Apache.  L'installation d'un serveur Web Apache permet de vérifier l'apparence de votre site internet dans un environnement spécifique comme Windows par exemple. En effet ce serveur de test local gratuit exécute vos scripts hors ligne, il est souvent combiné avec l'utilisation de bases de données MySQL.


Les CERT (Computer Emergency Response Teams) sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous. Les tâches prioritaires d'un CERT sont multiples. La centralisation des demandes d'assistance à la suite des incidents de sécurité sur les réseaux et les systèmes d'informations. Le traitement des alertes et réaction aux attaques informatiques. L'établissement et maintenance d'une base de donnée des vulnérabilités. La Prévention par diffusion d'informations. La coordination éventuelle avec les autres entités.

A propos de l'auteur

Retour en haut