Avis de sécurité Apache Tomcat du 4 juillet 2024

Apache corrige une vulnérabilité critique dans son produit Apache Tomcat


Le 4 juillet 2024, une vulnérabilité critique a été découverte dans le serveur Apache Tomcat.

Codée sous la référence CVE-2024-34750, cette vulnérabilité permet à un attaquant de provoquer un déni de service (DoS) à distance.

Description de la vulnérabilité

Selon l’avis de mise à jour du NIST en date du 29 mai 2024, cette vulnérabilité réside dans la gestion incorrecte des conditions exceptionnelles et la consommation incontrôlée des ressources. Plus précisément, Apache Tomcat présente une faille dans le traitement des flux HTTP/2, où il ne gère pas correctement certains cas d’en-têtes HTTP excessifs. Cette mauvaise gestion conduit à un comptage erroné des flux HTTP/2 actifs, entraînant l’utilisation d’un délai d’expiration infini incorrect. Ce délai permet à des connexions de rester ouvertes indéfiniment alors qu’elles auraient dû être fermées.

Versions affectées

Le problème affecte les versions suivantes d’Apache Tomcat :

De 11.0.0-M1 à 11.0.0-M20
De 10.1.0-M1 à 10.1.24
De 9.0.0-M1 à 9.0.89

Recommandations

Il est fortement recommandé aux utilisateurs des versions affectées de mettre à niveau leurs instances Apache Tomcat vers les versions corrigées suivantes :

11.0.0-M21
10.1.25
9.0.90
Ces versions corrigent le problème de gestion des flux HTTP/2 et évitent ainsi le risque de déni de service à distance.

Les risques d’attaque par déni de service

Un déni de service (DoS) est une attaque qui vise à rendre un système informatique, un réseau ou un service indisponible pour ses utilisateurs légitimes. Voici les principaux risques associés à une attaque par déni de service :

1. Indisponibilité du Service

L’impact le plus immédiat d’un déni de service est que les utilisateurs légitimes ne peuvent pas accéder aux services offerts par le serveur ou le réseau attaqué. Cela peut affecter :

  • Sites Web : Les utilisateurs ne peuvent pas accéder aux pages web, affectant la visibilité et les interactions en ligne.
  • Applications : Les applications hébergées sur les serveurs touchés peuvent devenir inutilisables.
  • Services en Ligne : Les services critiques tels que la messagerie, les bases de données, les API, etc., peuvent être interrompus.

2. Perte Financière

L’indisponibilité des services peut entraîner des pertes financières significatives, notamment pour :

  • E-commerce : La perte de ventes et de clients potentiels pendant la période d’indisponibilité.
  • Entreprises : Les interruptions de services peuvent ralentir ou arrêter les opérations commerciales, affectant la productivité et les revenus.

3. Dommages à la Réputation

Les entreprises et les organisations peuvent subir des dommages importants à leur réputation en raison de l’incapacité à fournir des services fiables. Les clients et les partenaires peuvent perdre confiance dans l’organisation, ce qui peut affecter la fidélité et les relations à long terme.

4. Coûts de Récupération

La gestion et la récupération après une attaque par déni de service peuvent être coûteuses. Cela inclut :

  • Temps de Récupération : Le temps nécessaire pour identifier, atténuer et récupérer de l’attaque.
  • Ressources : Les coûts associés à l’utilisation de ressources supplémentaires pour gérer l’attaque (personnel, matériel, etc.).
  • Améliorations de Sécurité : Les dépenses pour renforcer les mesures de sécurité afin de prévenir de futures attaques.

5. Risques Connexes

Un déni de service peut parfois être utilisé comme une diversion pour masquer d’autres types d’attaques, comme :

  • Intrusion : Pendant que les ressources sont saturées, des attaquants peuvent exploiter des failles de sécurité pour accéder aux systèmes.
  • Vol de Données : L’indisponibilité peut être utilisée pour détourner l’attention des équipes de sécurité, facilitant ainsi le vol de données sensibles.

6. Impact sur les Utilisateurs

Les utilisateurs finaux peuvent être frustrés par l’indisponibilité des services, ce qui peut entraîner :

  • Perte de Clients : Les utilisateurs peuvent se tourner vers des services concurrents.
  • Insatisfaction et Plaintes : Les utilisateurs mécontents peuvent exprimer leur insatisfaction publiquement, affectant l’image de marque.

Conclusion

Les attaques par déni de service représentent une menace sérieuse pour la disponibilité, la fiabilité et la sécurité des services en ligne. Il est essentiel pour les organisations de mettre en place des mesures de prévention et de réponse efficaces pour atténuer ces risques, notamment en utilisant des outils de détection et de mitigation, en renforçant les infrastructures et en adoptant des pratiques de sécurité robustes.

Les administrateurs système et les responsables de la sécurité informatique doivent prendre des mesures immédiates pour appliquer les mises à jour et protéger leurs infrastructures contre les attaques potentielles exploitant cette vulnérabilité.

Références supplémentaires

Pour plus d’informations sur cette vulnérabilité et les versions corrigées, veuillez consulter les ressources suivantes :

Apache Tomcat Security Page – Fixed in Apache Tomcat 10.1.25
NVD NIST – CVE-2024-34750

A propos de l'auteur

Retour en haut