Vulnérabilité dans le serveur HTTP Apache
Date de publication :
CVE-2021-41773[Score CVSS v3.1: 7,5]
Une vulnérabilité a été découverte dans le serveur HTTPApache. Il s’agit d’une vulnérabilité basée sur un changement de la normalisation des chemins dans le serveur. Un attaquant peut exploiter cette vulnérabilité pour effectuer une traversée de répertoire (path traversal). Cette traversée de répertoire lui permet d’explorer des URLs de fichiers qui sont au-delà de la racine du site.
L’attaquant peut explorer les fichiers au-delà de la racine du site uniquement lorsque ceux-ci ne sont pas protégés par « exiger tout refusé » (require all denied).
Aussi, cette vulnérabilité peut causer la fuite de fichiers interprétés, notamment des fichiers CGI (Common Gateway Interface).
Cette vulnérabilité est connue pour être exploitée.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Accès à des données sensibles
- Fuite de données sensibles
- Exploration / reconnaissance du réseau
Criticité
- Score CVSS v3.1: 7,5
CVE
Composants vulnérables.
- Ce problème affecte uniquement la version Apache 2.4.49 et non les versions antérieures.
Solutions ou recommandations
- Effectuer la mise à jour Apache 2.4.50
- Pour la version Apache 2.4.49, il est aussi possible de protéger les fichiers dans les dossiers avec l’ajout de la configuration suivante :
<Directory />
Require all denied
</Directory>