Forum Linux.debian/ubuntu CVE-2021-44790 bullseye

Posté par  . Licence CC By‑SA.
Étiquettes : aucune
2
27
déc.
2021

Bonjour,

Selon "https://www.lemondeinformatique.fr/actualites/lire-faille-log4j-les-dsi-et-rssi-en-pleine-tempete-l-anssi-vigilante-85110.html":

"La déclinaison 2.4.52 de HTTP Server colmate les vulnérabilités nommées CVE-2021-44790 et CVE-2021-44224 et dont les scores de gravité CVSS respectifs sont de 9,8 (critique) et 8,2 (élevé) sur une échelle de 10.".

Selon "https://security-tracker.debian.org/tracker/CVE-2021-44790" et "https://tracker.debian.org/pkg/apache2", cette version "2.4.52" n'existe pas pour bullseye et je n'ai pas trouvé beaucoup plus d'infos à ce sujet…

Compte tenu de la sévérité de cette vulnérabilité, je me demandais si cela allait être rapidement corrigé…

Quelqu'un en saurait-il plus?

Merci d'avance

  • # Gravité élevée mais uniquement avec des configurations spécifiques

    Posté par  . Évalué à 7. Dernière modification le 27 décembre 2021 à 15:04.

    Salut,

    Ce que j'ai compris de ces deux vulnérabilités, c'est que la gravité est élevée parce que l'on peut éventuellement exécuter du code arbitraire sur le serveur, mais que cela ne concerne que des configurations spécifiques et certainement peu répandues.

    La faille CVE-2021-44790 concerne le module mod_lua, qui permet d'exécuter du code en lua sur le serveur Apache. Ce module n'est normalement pas activé par défaut (au moins sous Debian) et ne doit concerner qu'un faible nombre d'installations.

    De même, pour exploiter CVE-2021-44224, il faut que le serveur Apache soit configuré pour se comporter comme un proxy direct et cela ne concerne que les version 2.4.49 et 2.4.50 (les configurations où Apache sert de frontal, en reverse proxy, à des serveur d'applications ou pour du load-balancing ne sont donc pas concernées). Même si c'est bien une utilisation licite d'Apache, je pense que cela doit représenter une très faible proportion des Apache installés (pour faire ce genre de choses, il me semble que l'on prend généralement des applications spécialisées, comme squid). De plus, les serveurs proxy sont le plus souvent joignables uniquement depuis un réseau interne et/ou avec une authentification.

    Je ne minimise pas le risque réel pour les serveurs ayant ce type de configuration, mais la surface d'attaque est sans commune mesure avec ce que l'on a eu pour la faille log4shell.

    À+

  • # Security tracker

    Posté par  . Évalué à 7.

    Chez Debian, les versions des paquets sont très rarement changés au cours de la vie de la distribution. Ce qui est fait, c'est de backporter le patch sur la version en cours. Il ne va pas avoir un paquet apache2 en version 2.4.52 mais un 2.4.51-1~deb11u2. Pour savoir si une vulnérabilité est corrigée, il faut regarder le security tracker https://security-tracker.debian.org/tracker/CVE-2021-44790 et https://security-tracker.debian.org/tracker/CVE-2021-44224

    Tout ça ne donne pas la date, mais on peut voir que chez RedHat, ce n'est pas corrigé non plus https://access.redhat.com/security/cve/cve-2021-44790 donc soit le fix n'est pas si simple, soit la vulnérabilité n'est pas si importante.

    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: Security tracker

      Posté par  (site web personnel) . Évalué à 5.

      Ce que tu décris est plutôt vrai en général mais ça ne s'applique pas au cas d'apache2 :

      • En août, Debian 11.0 est sortie avec la version 2.4.48-3.1.
      • Le 8 octobre, c'est la version 2.4.51-1~deb11u1 qui est incorporée via bullseye-security.

      Concernant le security-tracker, l'info n'est pas présente à l'heure actuelle, mais un verdict classique est « no-dsa » dans les notes, pour les bogues ne nécessitant pas une correction via une suite de sécurité, avec l'annonce de sécurité correspondante. Dans ce cas, c'est souvent via proposed-updates que le paquet est incorporé, avant intégration lors d'une point release ultérieure.

      Debian Consultant @ DEBAMAX

  • # Merci pour vos éclaircissements.

    Posté par  . Évalué à 2.

    Les choses sont moins confuses pour moi maintenant.

    Bonne journée

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.