Forum Linux.debian/ubuntu CVE-2021-44790 bullseye

Posté par GC le 27 décembre 2021 à 12:50. Licence CC By‑SA.

Étiquettes : aucune

déc.

2021

Bonjour,

Selon "https://www.lemondeinformatique.fr/actualites/lire-faille-log4j-les-dsi-et-rssi-en-pleine-tempete-l-anssi-vigilante-85110.html":

"La déclinaison 2.4.52 de HTTP Server colmate les vulnérabilités nommées CVE-2021-44790 et CVE-2021-44224 et dont les scores de gravité CVSS respectifs sont de 9,8 (critique) et 8,2 (élevé) sur une échelle de 10.".

Selon "https://security-tracker.debian.org/tracker/CVE-2021-44790" et "https://tracker.debian.org/pkg/apache2", cette version "2.4.52" n'existe pas pour bullseye et je n'ai pas trouvé beaucoup plus d'infos à ce sujet…

Compte tenu de la sévérité de cette vulnérabilité, je me demandais si cela allait être rapidement corrigé…

Quelqu'un en saurait-il plus?

Merci d'avance

# Gravité élevée mais uniquement avec des configurations spécifiques

Posté par JJD le 27 décembre 2021 à 15:02. Évalué à 7. Dernière modification le 27 décembre 2021 à 15:04.

Salut,

Ce que j'ai compris de ces deux vulnérabilités, c'est que la gravité est élevée parce que l'on peut éventuellement exécuter du code arbitraire sur le serveur, mais que cela ne concerne que des configurations spécifiques et certainement peu répandues.

La faille CVE-2021-44790 concerne le module mod_lua, qui permet d'exécuter du code en lua sur le serveur Apache. Ce module n'est normalement pas activé par défaut (au moins sous Debian) et ne doit concerner qu'un faible nombre d'installations.

De même, pour exploiter CVE-2021-44224, il faut que le serveur Apache soit configuré pour se comporter comme un proxy direct et cela ne concerne que les version 2.4.49 et 2.4.50 (les configurations où Apache sert de frontal, en reverse proxy, à des serveur d'applications ou pour du load-balancing ne sont donc pas concernées). Même si c'est bien une utilisation licite d'Apache, je pense que cela doit représenter une très faible proportion des Apache installés (pour faire ce genre de choses, il me semble que l'on prend généralement des applications spécialisées, comme squid). De plus, les serveurs proxy sont le plus souvent joignables uniquement depuis un réseau interne et/ou avec une authentification.

Je ne minimise pas le risque réel pour les serveurs ayant ce type de configuration, mais la surface d'attaque est sans commune mesure avec ce que l'on a eu pour la faille log4shell.

À+
# Security tracker

Posté par claudex le 28 décembre 2021 à 09:54. Évalué à 7.

Chez Debian, les versions des paquets sont très rarement changés au cours de la vie de la distribution. Ce qui est fait, c'est de backporter le patch sur la version en cours. Il ne va pas avoir un paquet apache2 en version 2.4.52 mais un 2.4.51-1~deb11u2. Pour savoir si une vulnérabilité est corrigée, il faut regarder le security tracker https://security-tracker.debian.org/tracker/CVE-2021-44790 et https://security-tracker.debian.org/tracker/CVE-2021-44224

Tout ça ne donne pas la date, mais on peut voir que chez RedHat, ce n'est pas corrigé non plus https://access.redhat.com/security/cve/cve-2021-44790 donc soit le fix n'est pas si simple, soit la vulnérabilité n'est pas si importante.

« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
- [^] # Re: Security tracker
  
  Posté par Cyril Brulebois (site web personnel) le 28 décembre 2021 à 22:50. Évalué à 5.
  Ce que tu décris est plutôt vrai en général mais ça ne s'applique pas au cas d'apache2 :
  - En août, Debian 11.0 est sortie avec la version 2.4.48-3.1.
  - Le 8 octobre, c'est la version 2.4.51-1~deb11u1 qui est incorporée via bullseye-security.
  Concernant le security-tracker, l'info n'est pas présente à l'heure actuelle, mais un verdict classique est « no-dsa » dans les notes, pour les bogues ne nécessitant pas une correction via une suite de sécurité, avec l'annonce de sécurité correspondante. Dans ce cas, c'est souvent via proposed-updates que le paquet est incorporé, avant intégration lors d'une point release ultérieure.
  
  Debian Consultant @ DEBAMAX
  - [^] # Re: Security tracker
    
    Posté par claudex le 05 janvier 2022 à 00:09. Évalué à 3.
    
    Et c'est bien la 2.4.52 qui est sortie pour cette mise à jour de sécurité https://security-tracker.debian.org/tracker/source-package/apache2
    
    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
    - [^] # Re: Security tracker
      
      Posté par GC le 05 janvier 2022 à 14:04. Évalué à 1.
      
      Merci pour l'info!
# Merci pour vos éclaircissements.

Posté par GC le 28 décembre 2021 à 11:23. Évalué à 2.

Les choses sont moins confuses pour moi maintenant.

Bonne journée

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.