Bulletin de sécurité Apache du 22 juin 2022.

Étiqueté : , ,

Vous lisez 0 fil de discussion
  • Auteur
    Messages
    • #39720
      Nicolas Coolman
      Maître des clés

      Bulletin de sécurité Apache du 22 juin 2022.

      La documentation de EncryptInterceptor indiquait à tort qu’il permettait au clustering Tomcat de s’exécuter sur un réseau non approuvé. Ce n’était pas correct. Bien que EncryptInterceptor assure la protection de la confidentialité et de l’intégrité, il ne protège pas contre tous les risques associés à l’exécution sur un réseau non approuvé, en particulier les risques DoS. (Sources)

      Vulnérabilité dans Apache Tomcat. Une vulnérabilité a été découverte dans Apache Tomcat. Elle permet à un attaquant de provoquer une injection de code indirecte à distance (XSS). (Sources)


      Le cross-site scripting (abrégé XSS), est un type de faille de sécurité des sites web permettant d'injecter du contenu dans une page, permettant ainsi de provoquer des actions sur les navigateurs web visitant la page. Les possibilités des XSS sont très larges puisque l'attaquant peut utiliser tous les langages pris en charge par le navigateur (JavaScript, Java, Flash...) et de nouvelles possibilités sont régulièrement découvertes notamment avec l'arrivée de nouvelles technologies comme HTML5. Il est par exemple possible de rediriger vers un autre site pour de l'hameçonnage ou encore de voler la session en récupérant les cookies.

      En exploitant les failles critiques Zero-Day, les cybercriminels lancent des attaques XSS dans le but d'insérer des scripts malveillants dans les sites internet. Les navigateurs sont incapables de distinguer l'origine des balises malwares de celles qui sont légitimes. Cette action donne aux pirates un accès complet aux informations confidentielles enregistrées par les internautes dans l'historique et les cookies de navigation.


      Le logiciel libre Apache HTTP Server est un serveur HTTP créé et maintenu au sein de la fondation Apache. Jusqu'en avril 2019, ce fut le serveur HTTP le plus populaire du World Wide Web. Il est distribué selon les termes de la licence Apache. 

      L'installation d'un serveur Web Apache permet de vérifier l'apparence de votre site internet dans un environnement spécifique comme Windows par exemple. En effet ce serveur de test local gratuit exécute vos scripts hors ligne, il est souvent combiné avec l'utilisation de bases de données MySQL.

      Nicolas Coolman

Vous lisez 0 fil de discussion
  • Vous devez être connecté pour répondre à ce sujet.
Retour haut de page