Le serveur HTTP d’Apache reçoit une mise à jour de sécurité sur Debian

Le serveur Apache HTTPD est un logiciel libre qui permet de connecter des plateformes en utilisant le protocole de communication client-serveur HyperText Transfer Protocol (HTTP). Il s'agit d'un type de serveur Web très répandu à travers le net.

Plusieurs vulnérabilités découvertes ont été récemment corrigées dans une nouvelle version du logiciel. Ces vulnérabilités pourraient permettre à un attaquant de réaliser du déni de service, de causer des crashs serveur et réaliser des injections de code indirect (XSS). Parmi ces vulnérabilités, deux sont considérées comme importantes.

Détails techniques :

  • CVE-2019-9517 [Score CVSS V3 7.5] : Certaines implémentations du protocole HTTP/2 sont sensibles à un déni de service potentiel sur les serveurs Apache. En envoyant plusieurs requêtes http/2 mais en ne lisant pas les réponses TCP renvoyées par le serveur, un attaquant peut forcer une consommation importante de ressources au niveau processeur et mémoire, et bloquer le serveur avec relativement peu de connexions entrantes.
  • CVE-2019-10081 [Score CVSS V3 7.5] : Dans l’utilisation du protocole http en mode « push » (connexion initiée par le serveur, par opposition à une connexion normalement initiée par un client), certaines requêtes configurées avec l’option « H2PushResource » peuvent mener à une réécriture de la mémoire sur d'autres requêtes push en attente, causant des crashs serveur.
Informations
+

Risques

  • Déni de service
  • Crashs serveur
  • Injection de code indirecte

Criticité

  • Score CVSS : 7.5 (score de la vulnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d’exploitation n’est disponible.

Composants & versions vulnérables

  • Apache Httpd  versions 2.4.x à 2.4.40

CVE

  • CVE-2019-9517
  • CVE-2019-10081
  • CVE-2019-10082
  • CVE-2019-10092
  • CVE-2019-10097
  • CVE-2019-10098

Recommandations
+

Mise en place de correctif de sécurité

  • Apache Httpd 2.4.41
  • Sur Debian buster, les vulnérabilités sont corrigées sur la version 2.4.38-3+deb10u1
  • Sur Debian stretch, les vulnérabilités sont corrigées sur la version 2.4.25-3+deb9u8

Solution de contournement

  • Aucune solution n'a été proposée.