Décidément, la fin de l’année pour la fondation Apache vire au cauchemar. Après l’affaire Log4j qui mobilise les équipes IT du monde entier pour mettre à jour cette bibliothèque de journalisation, c’est au tour d’un autre projet d’être placé sous surveillance : le serveur HTTP. En effet, la fondation vient de publier une mise à jour de son serveur web pour corriger deux failles critiques.
La déclinaison 2.4.52 de HTTP Server colmate les vulnérabilités nommées CVE-2021-44790 et CVE-2021-44224 et dont les scores de gravité CVSS respectifs sont de 9,8 (critique) et 8,2 (élevé) sur une échelle de 10. Pour donner une comparaison, la faille Log4Shell obtenait un score de 10/10. La première brèche du serveur web Apache consiste en un dépassement de la mémoire tampon affectant les versions 2.4.51 et antérieures. Le CISA (équivalent américain de l’Anssi) a lancé une alerte soulignant que cette vulnérabilité « peut entraîner une exécution de code à distance ». La seconde faille de type SSRF (Server-Side Request Forgery pour interagir avec le serveur) dans les versions 2.4.7 jusqu’à 2.4.51 du serveur web.
Des failles pour l’instant pas exploitées
Dans son analyse, les équipes de la fondation Apache précisent ne pas avoir d’indices sur l’exploitation de la faille la plus critique. Néanmoins, les pirates pourraient en créer un et s’en servir dans le cadre d’attaques en ciblant des serveurs web encore non mis à jour. « Un corps de requête soigneusement conçu peut provoquer un dépassement de mémoire tampon dans l'analyseur multipartite mod_lua (r:parsebody() appelé à partir de scripts Lua) », a expliqué Steffan Eissing de la Fondation Apache sur une liste de diffusion.
Une mise à jour à ne pas prendre à la légère quand on sait que le serveur HTTP Apache est le deuxième plus utilisé derrière Nginx. La plateforme alimenterait environ 25 % des sites web dans le monde. Ce n’est pas la première fois que le serveur HTTP corrige une faille critique. La dernière datait du mois d’octobre dernier. Du pain sur la planche donc pour les administrateurs pendant les fêtes…