Apache corrige plusieurs vulnérabilités critiques pour son serveur HTTP

Apache a publié, mardi 2 avril, un bulletin de sécurité concernant des vulnérabilités identifiées dans « Apache HTTP Server ». Des correctifs associés ont été intégrés à la version 2.4.39 (dernière mise à jour). Cette mise à jour corrige 3 vulnérabilités de criticité haute et 3 de criticité basse. Ces vulnérabilités sont présentes dans les versions 2.4.0 à 2.4.38.

« Apache HTTP Server » est un logiciel libre qui permet de connecter des plateformes en utilisant le protocole de communication client-serveur HyperText Transfer Protocol (HTTP). 
Il s'agit du type de serveurs Web le plus utilisé au monde. Cette mise à jour concerne donc de nombreux services (tous niveaux de sensibilisation confondus). 

Les vulnérabilités permettent à un attaquant de provoquer un déni de service à distance, gagner en privilège ou encore de contourner certaines politiques de sécurité.

Détails techniques :

Trois vulnérabilités de criticité « importante » ont été corrigées :

• CVE-2019-0211 [CVSS v3 7.8] : Cette vulnérabilité permet à n’importe quel utilisateur non privilégié d’exécuter du code arbitraire avec des privilèges administrateur (root) sur le serveur cible. Cette vulnérabilité concerne les systèmes Unix et ne possède pas encore de preuve de concept (POC). Le mode opératoire reste néanmoins connu.
• CVE-2019-0215 [CVSS v3 7.5] : Un dysfonctionnement dans le module SSL (SSL est un protocole permettant la création d’un canal de communication sécurisé entre deux machines) peut permettre à un client de passer outre les restrictions de contrôle d’accès configurées.
• CVE-2019-0217 [CVSS v3 7.5] : Un utilisateur possédant des informations d’identification valides peut exploiter cette vulnérabilité en s’authentifiant sous un autre nom d’utilisateur, et ainsi de passer outre les restrictions de contrôle d’accès configurées.