www.belgium.be Logo of the federal government

Multiples vulnérabilités dans Apache Httpd

Référence: 
Advisory #2019-008
Version: 
1.0
Logiciels concernés : 
Les versions d’Apache 2.4 précédant la version 2.4.39
Type: 
Exécution de code arbitraire, Contournement de la politique de sécurité
CVE/CVSS: 

CVE : CVE-2019-0211, CVE-2019-0215, CVE-2019-0217
CVE-Score: 8.2

Sources

https://httpd.apache.org/security/vulnerabilities_24.html

Risques

Les utilisateurs avec des permissions limitées sur le serveur pourraient être capables d'élever leurs privilèges en utilisant des scripts, ce qui permettrait d'exécuter des commandes sur les serveurs web Apache vulnérables comme s’ils disposaient des privilèges administrateurs (Root).

Description

Sur les serveurs HTTP Apache 2.4, de la version 2.4.17 à 2.4.38, le code exécutant des processus secondaires avec moins de privilèges pourrait exécuter du code arbitraire avec des privilèges root en utilisant une manipulation de la fonctionnalité scoreboard du module mod_status. Les systèmes non-Unix ne sont pas affectés par cette vulnérabilité.

Deux autres vulnérabilités, CVE-2019-0215 et CVE-2019-0217, pourraient permettre à un acteur malveillant de contourner les restrictions de contrôle d'accès configurées. Tous les systèmes d'exploitation sont concernés.

Actions recommandées

CERT.be recommande aux administrateurs de mettre à jour leur version d’Apache vers la dernière version disponible.

Références

https://www.bleepingcomputer.com/news/security/apache-bug-lets-normal-users-gain-root-access-via-scripts

https://httpd.apache.org/security/vulnerabilities_24.html