IPB

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> Une faille de sécurité découverte dans les serveurs HTTP Apache, Réactions à la publication du 04/04/2019
Options
Lionel
posté 4 Apr 2019, 06:43
Message #1


BIDOUILLE Guru
*****

Groupe : Admin
Messages : 53 700
Inscrit : 14 Jan 2001
Lieu : Paris
Membre no 3



Apache est de très loin le système de serveur HTTP le plus utilisé.
Une faille dévoilée sous la référence CVE-2019-0211 a été dévoilée. Elle permet à une personne ayant un accès local ou ayant des privilèges restreints sur un serveur à distance de provoquer une escalade de ses privilèges et de prendre le contrôle total de la machine.

Cette faille est donc critique, étant donné que bon nombre de services internet sont maintenant gérés par des géants comme Amazon, qui partagent leurs ressources entre les clients.

La faille touche les versions 2.4.17 à 2.4.38 d’Apache lorsqu’elle s’exécute sur des systèmes de type UNIX, 2 millions de machines qui sont en cours de mise à jour pour y mettre fin.


Lien vers le billet original



--------------------
C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
Go to the top of the page
 
+Quote Post
tojar
posté 4 Apr 2019, 08:59
Message #2


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 923
Inscrit : 6 May 2004
Lieu : under ze couette
Membre no 18 500



donc Mac Os X de base et server sont impactés directement ... ! Puisque Mojave est fourni en 2.4.34 de base.... et la 2.4.17 ca date de... euhh.. Capitan ?


--------------------
<= attention, cet individu est énervant, exécrable, hautain, prétentieux, professoral, d'un humour douteux et, de surcroit, disciple de courants de pensées qui sont dangeureuses pour notre bonne société francaise. hop.
Go to the top of the page
 
+Quote Post
Jack the best
posté 4 Apr 2019, 09:03
Message #3


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 5 376
Inscrit : 3 Nov 2003
Lieu : CUL (Communauté Urbaine de Lille !) Bon Appartement Chaud
Membre no 11 246



On n'en finira jamais dans cette course entre "fabricants de coffres-forts" et "futurs cambrioleurs" !

Plus gros le blindage, plus subtile la protection et plus puissant le chalumeau, plus malin le pirate ! ph34r.gif


--------------------

iMac 27" Retina 5K 1To Fusion drive 8 Go RAM Intel Core I5 quadricœur à 3,5 GHz Mojave 10.14.5 depuis peu, iMac Intel Core I5 3,1 GHz 1To (El Capitan 10.11.6 depuis le 13/9/2016) en rade carte mère !, MacBook Pro 17" 500 Go Snow Leopard, iMac G5 20" PPC Tiger 250 Go Rev A,
iPhone 6 64Go OS 11.3 et SONY pour la photo et la video … Pink #FD3F92
Breton MB
Attention aux huîtres, SURTOUT celles qui mangent des oiseaux !
How much wood would a woodchuck chuck if a woodchuck could chuck wood ?
Go to the top of the page
 
+Quote Post
iAPX
posté 4 Apr 2019, 13:06
Message #4


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 12 052
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (Jack the best @ 4 Apr 2019, 04:03) *
On n'en finira jamais dans cette course entre "fabricants de coffres-forts" et "futurs cambrioleurs" !

Plus gros le blindage, plus subtile la protection et plus puissant le chalumeau, plus malin le pirate ! ph34r.gif

En fait non, c'est un cas où la force des assaillants dépends essentiellement de la faiblesse de la défense, une fois passé un certain niveau des deux.

C'est l'augmentation de complexité des systèmes dans leur ensemble, mais aussi de chaque unité individuellement, qui est ingérable et créé des failles de sécurité.

Un exemple typique, Chrome, avec son "Service de prédiction pour charger plus rapidement les pages" (void dans Chrome -> Préférences -> Avancées).
Ça permet de charger plus rapidement les pages dont il y a des liens dans ce que l'on regarde actuellement, et c'est activé par Défault (plus chez moi).

Mais en revanche ça peut faire 3 leaks de données utilisables pour des scénarios de prise d'empreinte:
  • Requêtes DNS pouvant être individualisées, par exemple pour savoir quand quelqu'un lit depuis une interface Web (GMail au hasard) un Email qu'on lui a envoyé
  • Pré-connexion TCP au serveur correspondant, permettant alors de capturer l'adresse IP (toujours sans action de l'utilisateur)
  • Des fois même préchargement https, donc récupération des infos de l'User-Agent, toujours sans action de l'utilisateur


Un système pratique, complexe (il faut lire la doc pour comprendre), mais j'ai fait un proof-of-concept à mon travail et depuis je suis effaré...

Ce message a été modifié par iAPX - 4 Apr 2019, 13:13.
Go to the top of the page
 
+Quote Post
kapouer
posté 4 Apr 2019, 14:41
Message #5


Nouveau Membre


Groupe : Membres
Messages : 16
Inscrit : 27 Dec 2006
Membre no 76 594



Citation (Lionel @ 4 Apr 2019, 10:43) *
Apache est de très loin le système de serveur HTTP le plus utilisé.


en fait aujourd'hui c'est "de très loin avec nginx":
nginx 41% apache 43% IIS 8%
https://w3techs.com/technologies/overview/web_server/all


Go to the top of the page
 
+Quote Post
Pixelux
posté 5 Apr 2019, 00:13
Message #6


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 4 767
Inscrit : 18 Dec 2003
Lieu : Montréal
Membre no 12 595



A force de lire des news pareil.

Je me rends de plus en plus à l'évidence que je dois absolument trouver un moyen pour avoir une conversation avec un bon historien.

Ils sont où les Goethe, Bach, Lebnitz, Ensteing, Darwin etc.

Parce que là, au point où on en est: on fait vraiment dur. À l'évidence le système est totalement pourri à l'os.

Sincèrement, je suis complètement sidéré par le niveau de bêtises qui règne. Ça me semble être totalement et complètement fêlé.

Ce message a été modifié par Pixelux - 5 Apr 2019, 00:23.


--------------------
Go to the top of the page
 
+Quote Post
di_boub
posté 10 Jan 2020, 15:32
Message #7


Adepte de Macbidouille
*

Groupe : Membres
Messages : 184
Inscrit : 12 Sep 2001
Lieu : Lille
Membre no 786



Bonjour,


Est-ce que si on met à jour manuellement Apache de 2.4.34 à 2.4.38 sous Mojave 10.14.6 on risque de perdre cette MAJ si une hypotétique 10.14.7 sortait ?

Quelqu'un sait il comment mettre à jour Apache en 2.4.38 ? Possible ? Déconseillé ?

Est-ce qu'on doit forcément passer par Homebrew si on ne veut pas être dépendant des Mises à jour Apple ?

Merci beaucoup pour vos info (et merci à MacBid !)

AF


--------------------
--------------------------------------------------------------------------------
MacBook Pro - Cube - G3 BB - iMac G3 DV - Performa - Classic - etc...
--------------------------------------------------------------------------------
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



Nous sommes le : 27th February 2020 - 18:19