Le serveur Apache HTTP est l’un des serveurs web les plus utilis\u00e9s dans le monde. Cependant, comme tout logiciel, il n’est pas \u00e0 l’abri des vuln\u00e9rabilit\u00e9s. Et attention car il s’agit d’une double faille.<\/p>\n\n\n\n
Le 4 juillet, une faille de s\u00e9curit\u00e9 critique a \u00e9t\u00e9 d\u00e9couverte, affectant la version 2.4.60 d’Apache. Cette faille est not\u00e9e CVE-2024-39884.<\/p>\n\n\n\n
La faille permet la divulgation du code source des fichiers PHP. C’est donc absolument critique car ceux-ci peuvent par exemple contenir des mots de passe des bases de donn\u00e9es, ou du code propri\u00e9taire confidentiel.<\/p>\n\n\n\n
Un correctif est donc sorti via la version 2.4.61 du serveur Apache… Sauf que ce correctif ne corrigeait correctement pas la faille ! Une deuxi\u00e8me CVE est donc sortie, la CVE-2024-40725 pour r\u00e9-identifier cette faille finalement non corrig\u00e9e.<\/p>\n\n\n\n
Voici une synth\u00e8se de ces failles et des corrections apport\u00e9es.<\/p>\n\n\n\n
Update 30\/07\/2024 : Il existe une possibilit\u00e9 pour que cette vuln\u00e9rabilit\u00e9 soit en lien avec une vague de piratages ciblant de sites h\u00e9berg\u00e9s chez o2switch<\/a>. Rien n’est \u00e9tabli avec certitude car les moyens d’exploitation de ces failles et l’envergure du probl\u00e8me ne sont pas encore publics. Je n’ai pas non-plus d’informations de la part mon confr\u00e8re h\u00e9bergeur sur les versions Apache utilis\u00e9es.<\/em><\/p>\n\n\n\n Debian, la m\u00e8re distribution Linux, utilis\u00e9e par LRob, a \u00e9galement pris des mesures pour corriger ces vuln\u00e9rabilit\u00e9s dans ses diff\u00e9rentes versions, au travers du repository \u00ab\u00a0security\u00a0\u00bb ou natif en fonction des versions de l’OS. Voici la feuille de route des corrections :<\/p>\n\n\n\nCVE-2024-39884<\/h2>\n\n\n\n
\n
CVE-2024-40725<\/h2>\n\n\n\n
\n
Roadmap de Correction pour Debian<\/h2>\n\n\n\n
Source Package<\/th> Release<\/th> Version<\/th> Status<\/th><\/tr><\/thead> apache2 (PTS)<\/td> bullseye<\/td> 2.4.59-1~deb11u1<\/td> vuln\u00e9rable<\/td><\/tr> <\/td> bullseye (security)<\/td> 2.4.61-1~deb11u1<\/td> corrig\u00e9<\/td><\/tr> <\/td> bookworm<\/td> 2.4.59-1~deb12u1<\/td> vuln\u00e9rable<\/td><\/tr> <\/td> bookworm (security)<\/td> 2.4.61-1~deb12u1<\/td> corrig\u00e9<\/td><\/tr> <\/td> sid, trixie<\/td> 2.4.62-1<\/td> corrig\u00e9<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n