Apache HTTP Server corrige des failles de sécurité critiques

L’Apache Software Foundation a publié une nouvelle mise à jour pour corriger deux failles qui pourraient être exploitées par un attaquant distant pour obtenir la gestion d’une méthode susceptible de s’exécuter sur son serveur Internet bien-aimé.

Les failles, suivies comme CVE-2021-44790 et CVE-2021-44224, ont des scores CVSS de 9,8 et 8,2 respectivement. Bien que la faille la plus critique du serveur Web d’Apache ait une note cruciale, elle peut toujours être classée sous Log4Shell qui a une note CVSS de 10 sur 10.

La toute première faille est un débordement de tampon connecté à la mémoire qui affecte le serveur HTTP Apache 2.4.5.1 et les versions antérieures, bien que la deuxième faille puisse être utilisée pour obtenir une falsification côté serveur dans Apache HTTP Server 2.47 jusqu’à 2.4.51.

Corriger ces deux failles dans le serveur World Wide Web d’Apache devrait vraiment être une priorité majeure pour les propriétaires de sites Web, car la réputation d’Apache HTTP Server dans le monde entier peut faire des systèmes sensibles une priorité pour les pirates.

Possibilité d’être armé

Dans une nouvelle information envoyée par la Cybersecurity and Infrastructure Safety Company (CISA), la société américaine prévient que la faille de débordement de tampon dans le serveur Internet Apache pourrait « permettre à un attaquant distant de simplement prendre en charge un système influencé ».

Même si ce bogue vital a encore été utilisé dans des exploits dans la nature, l’équipe Apache HTTPD pense qu’il pourrait être transformé en arme par un attaquant.

À cette fin, les entreprises et les particuliers utilisant le serveur HTTP Apache doivent examiner cette annonce et mettre à jour le progiciel vers le dernier modèle aussi rapidement que possible pour se protéger eux-mêmes de toute attaque d’opportunité exploitant cette faille vitale.

Nous avons également arrondi le meilleur progiciel de protection des terminaux et le meilleur pare-feu

Via ZDNet