Multiples vulnérabilités dans Apache Httpd
CVE : CVE-2019-0211, CVE-2019-0215, CVE-2019-0217
CVE-Score: 8.2
Sources
https://httpd.apache.org/security/vulnerabilities_24.html
Risques
Les utilisateurs avec des permissions limitées sur le serveur pourraient être capables d'élever leurs privilèges en utilisant des scripts, ce qui permettrait d'exécuter des commandes sur les serveurs web Apache vulnérables comme s’ils disposaient des privilèges administrateurs (Root).
Description
Sur les serveurs HTTP Apache 2.4, de la version 2.4.17 à 2.4.38, le code exécutant des processus secondaires avec moins de privilèges pourrait exécuter du code arbitraire avec des privilèges root en utilisant une manipulation de la fonctionnalité scoreboard du module mod_status. Les systèmes non-Unix ne sont pas affectés par cette vulnérabilité.
Deux autres vulnérabilités, CVE-2019-0215 et CVE-2019-0217, pourraient permettre à un acteur malveillant de contourner les restrictions de contrôle d'accès configurées. Tous les systèmes d'exploitation sont concernés.
Actions recommandées
CERT.be recommande aux administrateurs de mettre à jour leur version d’Apache vers la dernière version disponible.