Le serveur Apache HTTP est l’un des serveurs web les plus utilisés dans le monde. Cependant, comme tout logiciel, il n’est pas à l’abri des vulnérabilités. Et attention car il s’agit d’une double faille.
Le 4 juillet, une faille de sécurité critique a été découverte, affectant la version 2.4.60 d’Apache. Cette faille est notée CVE-2024-39884.
La faille permet la divulgation du code source des fichiers PHP. C’est donc absolument critique car ceux-ci peuvent par exemple contenir des mots de passe des bases de données, ou du code propriétaire confidentiel.
Un correctif est donc sorti via la version 2.4.61 du serveur Apache… Sauf que ce correctif ne corrigeait correctement pas la faille ! Une deuxième CVE est donc sortie, la CVE-2024-40725 pour ré-identifier cette faille finalement non corrigée.
Voici une synthèse de ces failles et des corrections apportées.
Update 30/07/2024 : Il existe une possibilité pour que cette vulnérabilité soit en lien avec une vague de piratages ciblant de sites hébergés chez o2switch. Rien n’est établi avec certitude car les moyens d’exploitation de ces failles et l’envergure du problème ne sont pas encore publics. Je n’ai pas non-plus d’informations de la part mon confrère hébergeur sur les versions Apache utilisées.
CVE-2024-39884
- Date de publication : 4 juillet 2024
- Description : Une régression dans le noyau du serveur Apache HTTP version 2.4.60 fait en sorte que certaines configurations basées sur le type de contenu, telles que “AddType”, ne sont pas correctement prises en compte. Dans certains cas, cela peut entraîner la divulgation du code source de fichiers locaux, comme les scripts PHP qui peuvent être affichés en texte brut au lieu d’être interprétés.
- Solution : Il est recommandé de mettre à jour vers la version 2.4.61, qui corrige ce problème.
- Lien : CVE-2024-39884
CVE-2024-40725
- Date de publication : 17 juillet 2024
- Description : Cette faille est une correction additionnelle de la CVE-2024-39884. Elle révèle que la version 2.4.61 ne corrige pas complètement le problème initial. En effet, certaines configurations basées sur le type de contenu peuvent encore entraîner la divulgation du code source des fichiers locaux dans certaines circonstances.
- Solution : Il est recommandé de mettre à jour vers la version 2.4.62, qui corrige définitivement ce problème.
- Lien : CVE-2024-40725
Roadmap de Correction pour Debian
Debian, la mère distribution Linux, utilisée par LRob, a également pris des mesures pour corriger ces vulnérabilités dans ses différentes versions, au travers du repository “security” ou natif en fonction des versions de l’OS. Voici la feuille de route des corrections :
| Source Package | Release | Version | Status |
|---|---|---|---|
| apache2 (PTS) | bullseye | 2.4.59-1~deb11u1 | vulnérable |
| bullseye (security) | 2.4.61-1~deb11u1 | corrigé | |
| bookworm | 2.4.59-1~deb12u1 | vulnérable | |
| bookworm (security) | 2.4.61-1~deb12u1 | corrigé | |
| sid, trixie | 2.4.62-1 | corrigé |
- Lien : Roadmap de correction Debian
État des serveurs LRob
Les serveurs LRob sont déjà tous à jour et corrigent bien cette faille.
Conclusion
Les administrateurs de serveurs Apache HTTP doivent vérifier immédiatement la version de leur serveur et mettre à jour vers les versions corrigées (2.4.61-1[security] ou 2.4.62) pour éviter toute divulgation involontaire de code source.
La communauté open-source continue de surveiller et de corriger rapidement les vulnérabilités afin de garantir la sécurité et la fiabilité des logiciels utilisés par des millions de serveurs dans le monde. Assurez-vous de suivre les mises à jour de sécurité et de maintenir votre infrastructure à jour pour protéger vos données et celles de vos utilisateurs.
Laisser un commentaire