Bulletin de sécurité Apache HTTP Server

Bulletin de sécurité Apache HTTP Server CHANGES_2.4.60 du 01 juillet 2024

Apache HTTP Server a corrigé plusieurs vulnérabilités dans la version 2.4.60, publiées le 1er juillet 2024.

Ces vulnérabilités incluent des problèmes de sécurité significatifs affectant l’intégrité et la confidentialité des données, la politique de sécurité, ainsi que la disponibilité du serveur.

Détails des Vulnérabilités :

Apache corrige 8 vulnérabilités identifiées CVE de gravité faible à importante. Ces indices sont importants pour évaluer le niveau de risque et prioriser les mesures de correction. Vous pouvez trouver plus de détails sur ces vulnérabilités sur les sites des fournisseurs de sécurité tels que Tenable et Red Hat.

CVE-2024-39573 : Une faille dans le module mod_rewrite peut permettre une Server-Side Request Forgery (SSRF), permettant à un attaquant de manipuler les règles de réécriture pour accéder à des URL via mod_proxy.

  • Indice de gravité CVSS : Modéré.
  • Impact : Contournement de la politique de sécurité

CVE-2024-38477 : Une vulnérabilité de déni de service (DoS) dans mod_proxy permet à un attaquant de provoquer un crash du serveur via une requête malveillante.

  • Indice de gravité CVSS : Important
  • Impact : Déni de service à distance

CVE-2024-38476 : Une faille dans le cœur du serveur HTTP Apache permet une divulgation d’informations, SSRF ou l’exécution de scripts locaux via des applications backend avec des en-têtes de réponse malveillants.

  • Indice de gravité CVSS : Important
  • Impact : Exécution de code arbitraire à distance

CVE-2024-38475 : Une mauvaise gestion de l’échappement dans mod_rewrite permet à un attaquant de mapper des URL vers des emplacements de fichiers système, conduisant potentiellement à l’exécution de code ou la divulgation de code source.

  • Indice de gravité CVSS : Important
  • Impact : Déni de service à distance

CVE-2024-38474 : Un problème de substitution d’encodage dans mod_rewrite permet à un attaquant d’exécuter des scripts dans des répertoires autorisés mais non directement accessibles par URL.

  • Indice de gravité CVSS : Important
  • Impact : Exécution de code arbitraire à distance

CVE-2024-38473 : Un problème d’encodage dans mod_proxy permet de contourner l’authentification via des requêtes malveillantes.

Indice de gravité CVSS : Modéré
Impact : Atteinte à la confidentialité des données

CVE-2024-38472 : Une SSRF dans Apache HTTP Server sur Windows permet la fuite de hachages NTML vers un serveur malveillant.

Indice de gravité CVSS : Important
Impact : Atteinte à l’intégrité des données

CVE-2024-36387 : Une vulnérabilité dans les connexions WebSocket sur HTTP/2 peut provoquer un déni de service via une déréférence de pointeur nul.

Indice de gravité CVSS : Faible
Impact : Déni de service à distance

Impact :

Ces vulnérabilités peuvent entraîner :

  • Atteinte à l’intégrité et à la confidentialité des données.
  • Contournement de la politique de sécurité.
  • Déni de service à distance.
  • Exécution de code arbitraire à distance.

Conclusion  :

Il est fortement recommandé aux utilisateurs d’Apache HTTP Server de mettre à jour vers la version 2.4.60 pour mitiger ces risques de sécurité et protéger leurs systèmes contre des attaques potentielles.

A propos de l'auteur

Retour en haut