Faille de sécurité présente dans apache < 2.2.20

Questions relatives à la sécurité de votre système : firewall, SELinux, etc...
mongos
Messages : 1
Inscription : 26 mars 2010, 23:55

Faille de sécurité présente dans apache < 2.2.20

Message par mongos » 30 janvier 2012, 15:17

J'ai appris récemment qu'une grosse faille de sécurité pouvant provoquer un dénie de service existait dans les versions d'apache inférieur à 2.2.20 (version du correctif, 2.2.21 étant la version corrigeant la régression dû au correctif). La faille est présente dans le système de segmentation des fichiers (permettant le téléchargement en parallèles de plusieurs partie d'un fichier) (Présentation de la faille : http://seclists.org/bugtraq/2007/Jan/83 Première exploitation : http://seclists.org/fulldisclosure/2011/Aug/175). L'attaque consiste à forcer le serveur à segmenter un fichier en plusieurs milliers de parties pour chaque requête. Ce qui met à genoux au bout de quelques centaines de requêtes....

Or, j'ai cru remarquer que la dernière version d'apache présente dans les dépôts étaient la 2.2.3, donc vulnérable à cette attaque. Le dépôt CentAlt (http://centos.alt.ru/repository/centos/) a lui la version 2.2.21 (version donc corrigée).

Ne serait-il pas plus raisonnable de mettre cette version dans les dépôt officiels au vu du sérieux de la faille ?

Avatar de l’utilisateur
nouvo09
Messages : 2171
Inscription : 20 octobre 2009, 08:14
Localisation : Paris, France

Re: Faille de sécurité présente dans apache < 2.2.20

Message par nouvo09 » 30 janvier 2012, 16:09

IL vaut certainement mieux, si ce n'est déjà fait, rapporter le bug sur bugzilla.redhat.com.

Centos utilise les sources Redhat à 100% et n'incluera pas un paquet qui n'en provient pas.
C'est pas parce que c'est difficile qu'on ose pas,
c'est parce qu'on ose pas que c'est difficile !

Avatar de l’utilisateur
remi
Messages : 221
Inscription : 20 octobre 2009, 07:10
Localisation : Champagne...
Contact :

Re: Faille de sécurité présente dans apache < 2.2.20

Message par remi » 30 janvier 2012, 17:20

Ne pas se fier au numéro de version
En effet les correctifs de sécurité sont rétroporté par redhat dans la version courante,

Code : Tout sélectionner

$ rpm -q httpd
httpd-2.2.15-15.el6.x86_64
$ rpm -q --changelog httpd | grep CVE
- core: add security fix for CVE-2011-3368 (#743659)
- mod_proxy_ajp: add security fix for CVE-2011-3348 (#738961)
- add security fix for CVE-2011-3192 (#733063, #736592)
- add security fix for CVE-2010-1452 (#618193)
...
Contributeur EPEL et CentOS SCLo SIG
Des RPM pour CentOS sur https://rpms.remirepo.net

Avatar de l’utilisateur
Arrfab
Administrateur
Messages : 307
Inscription : 16 octobre 2009, 18:04
Localisation : /dev/irc.freenode.net/#centos
Contact :

Re: Faille de sécurité présente dans apache < 2.2.20

Message par Arrfab » 30 janvier 2012, 20:01

Comme Rémi (que je salue au passage) l'a mentionné, Red Hat intègre les patches nécessaires.
A lire absolument pour comprendre toute la philosophie d'une distro entreprise (comme Red Hat) : https://access.redhat.com/security/updates/backporting/
----
test -e /dev/human/brain || ( echo 1 > /proc/sys/kernel/sysrq ; echo c > /proc/sysrq-trigger )

Verrouillé