vulnerabilite © faberfoto Fotolia.com
La société de sécurité Qualys a émis, la semaine dernière, une alerte sur une faille de sécurité qui affecte le serveur open source Apache HTTP. Application, pour mémoire, utilisée pour la majorité des serveurs web de la planète (près de 65 % selon Netcarft). La vulnérabilité est liée à la configuration du Reverse Proxy « qui pourrait permettre l’accès au système depuis Internet », selon Prutha Parikh, de Qualys, qui a découvert le problème. Le Reverse Proxy est notamment utilisé pour le caching ou l’équilibre de charges (load balancing).
Il s’agit dans les faits d’un problème précédemment rencontré (CVE-2011-3368) et auquel Apache avait proposé un correctif (à travers la version Apache 2.2.21 du serveur). Mais apparemment, la vulnérabilité persiste si les règles du reverse proxy ne sont pas configurées correctement. Une adresse web volontairement mal formée permettrait ainsi de contourner les règles de sécurité et accéder aux arcanes du système.
Si la fondation Apache a publiquement révélé l’existence du bug, aucun correctif n’est pour l’heure proposé. La seule solution pour se protéger des tentatives d’attaques pour l’heure est de configurer correctement le Reverse Proxy notamment en définissant correctement les instructions « RewriteRule » et « ProxyPassMatch ».
crédit photo © faberfoto Fotolia.com
Une mise à jour de l'EDR Crowdstrike Falcon a planté une multitude de serveurs et…
Un modèle GPT-4o mini rejoint le catalogue d'OpenAI. De la conception à l'évaluation, il a…
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…