De multiples vulnérabilités dans le serveur web Apache pourraient permettre l’exécution de code à distance
NOMBRE D’AVIS DE MS-ISAC:
2020-108
DATE(S) PUBLIÉE(S):
08/07/2020
VUE D’ENSEMBLE:
De multiples vulnérabilités ont été découvertes dans le serveur web Apache, dont la plus grave pourrait permettre l’exécution de code à distance. Le serveur web Apache est un logiciel développé par la fondation logicielle Apache en tant qu’outil open source gratuit utilisé pour héberger des sites web. L’exploitation réussie de la plus grave de ces vulnérabilités pourrait permettre à un attaquant d’exécuter du code à distance dans le contexte de l’application affectée. En fonction des privilèges associés à l’application, un attaquant pourrait visualiser, modifier ou supprimer des données. Si cette application a été configurée pour avoir moins de droits d’utilisateur sur le système, l’exploitation de la plus grave de ces vulnérabilités pourrait avoir moins d’impact que si elle était configurée avec des droits d’administration.
INTELLIGENCE DE LA MENACE:
Il n’existe actuellement aucun rapport d’exploitation de ces vulnérabilités dans la nature.
SYSTEMES AFFECTÉS:
- Apache versions 2.4.43 et antérieures
RISQUE:
Gouvernement:
- Les grandes et moyennes entités gouvernementales : HAUT
- Petites entités gouvernementales : MOYEN
Entreprises:
- Entités commerciales grandes et moyennes : ÉLEVÉE
- Petites entités commerciales : MOYEN
Utilisateurs domestiques:
FAIBLE
RÉSUMÉ TECHNIQUE:
Plusieurs vulnérabilités ont été découvertes dans le serveur web Apache, dont la plus sévère pourrait permettre l’exécution de code à distance. Ces vulnérabilités peuvent être déclenchées lorsque des paquets spécialement conçus sont soumis pour traitement à un serveur web affecté. Les détails des vulnérabilités sont les suivants :
- Une possible vulnérabilité d’exécution de code à distance due à un dépassement de tampon avec le module mod_uwsgi. (CVE-2020-11984)
- Une vulnérabilité de déni de service déclenchée lorsque le traçage/débogage est activé. (CVE-2020-11993)
- Une vulnérabilité de déni de service déclenchée lorsqu’un paquet PUSH est envoyé en utilisant l’en-tête ‘Cache-Digest’. (CVE-2020-9490)
L’exploitation réussie de la plus sévère de ces vulnérabilités pourrait permettre à un attaquant d’exécuter du code à distance dans le contexte de l’application affectée. En fonction des privilèges associés à l’application, un attaquant pourrait visualiser, modifier ou supprimer des données. Si cette application a été configurée pour avoir moins de droits d’utilisateur sur le système, l’exploitation de la plus grave de ces vulnérabilités pourrait avoir moins d’impact que si elle était configurée avec des droits d’administration.
RECOMMANDATIONS:
Nous recommandons de prendre les mesures suivantes:
- Appliquer les mises à jour fournies par Apache aux systèmes vulnérables immédiatement après les tests appropriés.
- Exécuter tous les logiciels en tant qu’utilisateur non privilégié (celui qui n’a pas de privilèges d’administration) pour diminuer les effets d’une attaque réussie.
- Configurer l’application comme suggéré par Apache pour aider à atténuer la vulnérabilité.