Mise à jour du 31/08/11
Apache HTTP Server 2.2.20 est disponible. Cette version corrige la faille de sécurité critique dans le daemon du serveur Web dévoilée la semaine dernière (lire ci-avant). Cette vulnérabilité était massivement exploitée par des pirates avec l’utilitaire « Apache Killer » pour effectuer des attaques par déni de service (DoS).
La faille de sécurité se situait dans la façon dont le serveur Apache traite les requêtes HTTP volumineuses qui se chevauchent. Le traitement de ces requêtes pouvait provoquer une utilisation excessive de mémoire pouvant entraîner le dysfonctionnement du serveur.
Les correctifs de la version 2.2.20 d’Apache HTTP Server permettent donc de réduire la quantité de mémoire qui est utilisée par des requêtes range. Le serveur somme désormais le nombre d’octets de l’ensemble des requêtes range qui se chevauchent, et les compare avec la taille du fichier demandé. Si cette somme dépasse la taille du fichier, le fichier est retourné en entier sans que ces requêtes ne soient traitées.
Les modules écrits pour Apache 2.0 devront être recompilés sans (ou avec très peu de) modifications du code pour fonctionner avec cette version du serveur Web.
Les développeurs de la plateforme recommandent aux administrateurs de procéder dans les plus brefs délais à une mise à jour de leur serveur Apache.
Télécharger Apache HTTP Server 2.2.20
Source : Apache
Vulnérabilité critique dans le serveur Web Apache
Un outil exploite la faille qui permet des attaques par déni de service
Les versions 1.3 et 2.x du serveur Web open source Apache est sujet à une faille de sécurité pouvant être exploitée par des pirates pour des attaques par déni de service (DoS).
L’annonce a été faite par les développeurs de la plateforme qui travaillent activement pour apporter un correctif le plus tôt possible.
La faille de sécurité se situe au niveau de la façon dont le serveur Apache traite les requêtes HTTP volumineuses qui se chevauchent, pouvant conduire à une utilisation complète de la mémoire de l’appareil.
Cette faille peut être exploitée par un pirate distant en empilant de multiples en-têtes HTTP Range pour demander au serveur de lui renvoyer un très grand nombre de morceaux de fichiers de tailles différentes. Le traitement de ces requêtes provoque donc une fuite de mémoire qui peut entraîner le dysfonctionnement du serveur.
Cette vulnérabilité ne serait pas nouvelle. Elle aurait été découverte pour la première fois il y a de cela quatre ans (en 2007) par Michal Zalewski, un chercheur en sécurité qui travaille actuellement pour Google.
Mais un outil baptisé « Apache Killer » qui exploite cette vulnérabilité serait en ce moment de circulation et serait très utilisé par des pirates de plus en plus nombreux, selon l’avis même des développeurs du serveur Web.
Dans le document qu'ils ont publié, des solutions sont également proposées pour permettre aux administrateurs de protéger leur système.
Les correctifs pour Apache 2.0 et 2.2 devraient être disponibles d'ici 48 heures.
Et vous ?
Que pensez-vous de cette faille, et du fait qu'elle n'ait pas été corrigée depuis 4 ans ?
La faille de sécurité d'Apache HTTP Server colmatée
Grâce une mise à jour fortement recommandée par la fondation
La faille de sécurité d'Apache HTTP Server colmatée
Grâce une mise à jour fortement recommandée par la fondation
Le , par Hinault Romaric
Une erreur dans cette actualité ? Signalez-nous-la !