CVE-2021-41773 : Vulnérabilité activement exploitée dans Apache HTTP Server.
Le lundi 04 octobre 2021, Apache a publié un correctif pour son serveur HTTP corrigeant deux vulnérabilités qui affectent spécifiquement la version 2.4.49, sortie en juin 2021.La plus critique de ces vulnérabilités, la CVE-2021-41773, permet de lire des fichiers arbitraires par une attaque de type traversée de chemin (path traversal).
Le CERT-FR constate que la version vulnérable n'a pas encore été proposée par la plupart des distributions Linux. Sont donc principalement concernés les utilisateurs qui construisent leur serveur Apache à partir des sources.
En fonction de la configuration du service, l'attaquant pourrait accéder à l'ensemble du système de fichier. Pour s'en prémunir, les fichiers situés en dehors de la racine des documents (DocumentRoot) peuvent être protégés par une directive "require all denied". Dans ce cas, l'attaquant pourra tout de même avoir accès aux secrets ou encore aux codes source de l'application.
Apache indique que cette vulnérabilité est déjà activement exploitée. Le CERT-FR constate également que de nombreux codes d'exploitation sont publiquement disponibles sur Internet.
Le CERT-FR recommande donc l'application du correctif dans les plus brefs délais.
[Mise à jour du 08 octobre 2021]
Le 07 octobre 2021, Apache a publié la version 2.4.51 car le correctif proposé dans la version 2.4.50 n'est pas suffisant pour empêcher toutes les attaques de type traversée de chemin (path traversal). En effet, selon la configuration de directives Alias, les fichiers de certains répertoires peuvent encore être lus. De plus, si les scripts CGI sont activés, l'attaquant peut obtenir une exécution de code arbitraire à distance.
Cette précision sur l'étendue de la vulnérabilité est identifiée par la CVE-2021-42013.
Le CERT-FR anticipe une accélération des tentatives d'exploitation. Si vous êtes concernés par cette vulnérabilité, il est urgent de mettre à jour ou de modifier votre configuration.
Documentation
- Avis CERT-FR CERTFR-2021-AVI-759 du 06 octobre 2021 /avis/CERTFR-2021-AVI-759/
- Bulletin de sécurité Apache du 04 octobre 2021 https://httpd.apache.org/security/vulnerabilities_24.html
- Bulletin de sécurité Apache 2.4.50 du 04 octobre 2021 https://downloads.apache.org/httpd/CHANGES_2.4.50
- Avis CERT-FR CERTFR-2021-AVI-764 du 06 octobre 2021 /avis/CERTFR-2021-AVI-764/
- Bulletin de sécurité Apache 2.4.51 du 04 octobre 2021 https://downloads.apache.org/httpd/CHANGES_2.4.51