L’Apache Software Foundation a publié une nouvelle mise à jour pour corriger deux failles qui pourraient être exploitées par un attaquant distant pour prendre le contrôle d’un système vulnérable s’exécutant sur son serveur Web populaire.
Les failles, suivies comme CVE-2021-44790 et CVE-2021-44224, ont des scores CVSS de 9,8 et 8,2 respectivement. Bien que la faille la plus grave du serveur Web d’Apache ait une note critique, elle est toujours classée en dessous de Log4Shell qui a un score CVSS de 10 sur 10.
La première faille est un débordement de mémoire tampon qui affecte le serveur HTTP Apache 2.4.5.1 et les versions antérieures tandis que la seconde faille peut être utilisée pour réaliser une contrefaçon de requête côté serveur dans Apache HTTP Server 2.47 jusqu’à 2.4.51.
Corriger ces deux failles dans le serveur Web d’Apache devrait être une priorité absolue pour les propriétaires de sites, car la popularité d’Apache HTTP Server dans le monde fait des systèmes vulnérables une cible de choix pour les pirates.
Sommaire
Potentiel d’être militarisé
Dans une nouvelle alerte envoyée par la Cybersecurity and Infrastructure Security Agency (CISA), l’agence gouvernementale américaine prévient que la faille de débordement de tampon dans le serveur Web Apache pourrait « permettre à un attaquant distant de prendre le contrôle d’un système affecté ».
Bien que ce bogue critique ait été utilisé dans tous les exploits dans la nature, l’équipe Apache HTTPD pense qu’il pourrait être transformé en arme par un attaquant.
Pour cette raison, les organisations et les individus exécutant Apache HTTP Server doivent consulter cette annonce et mettre à jour le logiciel vers la dernière version dès que possible pour se protéger de toute attaque potentielle exploitant cette faille critique.
Nous avons également arrondi le meilleur logiciel de protection des terminaux et meilleur pare-feu
Via ZDNet
