Version imprimable du sujet

Écrit par : Lionel 4 Apr 2019, 06:43

Apache est de très loin le système de serveur HTTP le plus utilisé.
Une faille dévoilée sous la référence CVE-2019-0211 a été dévoilée. Elle permet à une personne ayant un accès local ou ayant des privilèges restreints sur un serveur à distance de provoquer une escalade de ses privilèges et de prendre le contrôle total de la machine.

Cette faille est donc critique, étant donné que bon nombre de services internet sont maintenant gérés par des géants comme Amazon, qui partagent leurs ressources entre les clients.

La faille touche les versions 2.4.17 à 2.4.38 d’Apache lorsqu’elle s’exécute sur des systèmes de type UNIX, 2 millions de machines qui sont en cours de mise à jour pour y mettre fin.


http://macbidouille.com/news/2019/04/04/une-faille-de-securite-decouverte-dans-les-serveurs-http-apache

Écrit par : tojar 4 Apr 2019, 08:59

donc Mac Os X de base et server sont impactés directement ... ! Puisque Mojave est fourni en 2.4.34 de base.... et la 2.4.17 ca date de... euhh.. Capitan ?

Écrit par : Jack the best 4 Apr 2019, 09:03

On n'en finira jamais dans cette course entre "fabricants de coffres-forts" et "futurs cambrioleurs" !

Plus gros le blindage, plus subtile la protection et plus puissant le chalumeau, plus malin le pirate !

Écrit par : iAPX 4 Apr 2019, 13:06

En fait non, c'est un cas où la force des assaillants dépends essentiellement de la faiblesse de la défense, une fois passé un certain niveau des deux.

C'est l'augmentation de complexité des systèmes dans leur ensemble, mais aussi de chaque unité individuellement, qui est ingérable et créé des failles de sécurité.

Un exemple typique, Chrome, avec son "Service de prédiction pour charger plus rapidement les pages" (void dans Chrome -> Préférences -> Avancées).
Ça permet de charger plus rapidement les pages dont il y a des liens dans ce que l'on regarde actuellement, et c'est activé par Défault (plus chez moi).

Mais en revanche ça peut faire 3 leaks de données utilisables pour des scénarios de prise d'empreinte:

• Requêtes DNS pouvant être individualisées, par exemple pour savoir quand quelqu'un lit depuis une interface Web (GMail au hasard) un Email qu'on lui a envoyé
• Pré-connexion TCP au serveur correspondant, permettant alors de capturer l'adresse IP (toujours sans action de l'utilisateur)
• Des fois même préchargement https, donc récupération des infos de l'User-Agent, toujours sans action de l'utilisateur

Un système pratique, complexe (il faut lire la doc pour comprendre), mais j'ai fait un proof-of-concept à mon travail et depuis je suis effaré...

Écrit par : kapouer 4 Apr 2019, 14:41

en fait aujourd'hui c'est "de très loin avec nginx":
nginx 41% apache 43% IIS 8%
https://w3techs.com/technologies/overview/web_server/all

Écrit par : Pixelux 5 Apr 2019, 00:13

A force de lire des news pareil.

Je me rends de plus en plus à l'évidence que je dois absolument trouver un moyen pour avoir une conversation avec un bon historien.

Ils sont où les Goethe, Bach, Lebnitz, Ensteing, Darwin etc.

Parce que là, au point où on en est: on fait vraiment dur. À l'évidence le système est totalement pourri à l'os.

Sincèrement, je suis complètement sidéré par le niveau de bêtises qui règne. Ça me semble être totalement et complètement fêlé.

Écrit par : di_boub 10 Jan 2020, 15:32

Bonjour,


Est-ce que si on met à jour manuellement Apache de 2.4.34 à 2.4.38 sous Mojave 10.14.6 on risque de perdre cette MAJ si une hypotétique 10.14.7 sortait ?

Quelqu'un sait il comment mettre à jour Apache en 2.4.38 ? Possible ? Déconseillé ?

Est-ce qu'on doit forcément passer par Homebrew si on ne veut pas être dépendant des Mises à jour Apple ?

Merci beaucoup pour vos info (et merci à MacBid !)

AF