La Fondation Apache a publié des correctifs critiques pour le serveur HTTP après avoir trouvé une vulnérabilité grave à la gestion HTTP / 2 qui peut entraîner un déni de service et, sous certaines conditions, une exécution de code à distance. La version corrigée est Apache HTTP Server 2.4.67 et la recommandation immédiate à l'intention des gestionnaires est de mettre à jour dès que possible les organismes concernés qui appliquent encore le paragraphe 2.4.66 ou plus tôt.
Le problème est placé dans la logique de nettoyage du flux mod _ http2 et est un cas classique de double libération de mémoire qui peut être tourné par une séquence de lignes HTTP / 2 envoyées par un client. En pratique, cela signifie qu'un attaquant à distance peut faire bloquer un travailleur avec quelques paquets bien formés; Le déni de service est banal à jouer dans les déploiements par défaut. Le chemin vers l'exécution de code à distance (CER) nécessite des conditions supplémentaires - une attribution de mémoire mmap dans APR et une chaîne d'étapes pour réutiliser la direction publiée - mais les chercheurs ont montré qu'elle est viable en laboratoire sous des paramètres Debian communs et dans l'image officielle httpd Docker.
Que l'exploitation des URCE dépend du mmap et des éléments tels que le « tableau de bord » du serveur rend certaines plateformes plus attrayantes : dans Debian et dans l'image officielle de Docker, le comportement par défaut facilite le flux de l'explosion. Les configurations multifils avec mod _ http2 activés sont les plus exposées; le MPM préfork ne subit pas cette défaillance Ainsi, le passage temporaire à la préfourche peut être une atténuation partielle dans les environnements où il n'est pas possible de stationner immédiatement.
En plus du patch, les mesures d'atténuation immédiates qui doivent être envisagées sont : mise à jour à 2.4.67 sur tous les serveurs exposés, désactiver mod _ http2 si ce n'est pas strictement nécessaire, et vérifier si l'APR utilise le mmap (une recombinaison de APR sans mmap réduit la fenêtre de fonctionnement). Pour les environnements conteneur, assurez-vous de reconstruire et de déployer des images basées sur la version corrigée du serveur et assurez-vous que les images de production ne continuent pas à utiliser la version vulnérable.
Les opérateurs et l'équipement de sécurité devraient surveiller des indicateurs d'abus clairs: les profils de connexion qui provoquent le redémarrage répété des travailleurs, les braindumps ou les entrées inhabituelles dans les enregistrements d'erreurs httpd. Implémenter des limites de débit au niveau du rocker ou du pare-feu, ou forcer la terminaison HTTP / 2 dans un proxy / terminateur TLS patché, peut contenir des attaques ciblées pendant que la mise à jour complète du parc est appliquée.
La vulnérabilité a été signalée par des chercheurs indépendants et leur cote du CVSS (8,8 selon le rapport) souligne son impact. Bien que la route menant aux URCE exige des conditions techniques supplémentaires et un certain degré de «spray» et de fuite d'informations, les attaques de déni de service sont simples et suffisantes pour justifier la priorité dans le stationnement. Pour plus de détails techniques et la liste officielle des corrections, consultez la page de sécurité du serveur HTTP Apache et la documentation mod _ http2. https: / / httpd.apache.org / sécurité / vulnérabilités _ 24.html et https: / / httpd.apache.org / docs / 2.4 / mod / mod _ http2.html.
En bref : appliquer la version 2.4.67 dès que possible, prioriser les serveurs et conteneurs publics basés sur Debian ou l'image officielle de httpd, envisager une atténuation temporaire telle que désactiver le mod _ http2 ou passer à la préforche si vous ne pouvez pas vous garer immédiatement, et augmenter la surveillance de la stabilité anormale et des événements de trafic sur votre front HTTP / 2.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...