Posté par JJD .
En réponse au message CVE-2021-44790 bullseye.
Évalué à 7.
Dernière modification le 27 décembre 2021 à 15:04.
Salut,
Ce que j'ai compris de ces deux vulnérabilités, c'est que la gravité est élevée parce que l'on peut éventuellement exécuter du code arbitraire sur le serveur, mais que cela ne concerne que des configurations spécifiques et certainement peu répandues.
La faille CVE-2021-44790 concerne le module mod_lua, qui permet d'exécuter du code en lua sur le serveur Apache. Ce module n'est normalement pas activé par défaut (au moins sous Debian) et ne doit concerner qu'un faible nombre d'installations.
De même, pour exploiter CVE-2021-44224, il faut que le serveur Apache soit configuré pour se comporter comme un proxy direct et cela ne concerne que les version 2.4.49 et 2.4.50 (les configurations où Apache sert de frontal, en reverse proxy, à des serveur d'applications ou pour du load-balancing ne sont donc pas concernées). Même si c'est bien une utilisation licite d'Apache, je pense que cela doit représenter une très faible proportion des Apache installés (pour faire ce genre de choses, il me semble que l'on prend généralement des applications spécialisées, comme squid). De plus, les serveurs proxy sont le plus souvent joignables uniquement depuis un réseau interne et/ou avec une authentification.
Je ne minimise pas le risque réel pour les serveurs ayant ce type de configuration, mais la surface d'attaque est sans commune mesure avec ce que l'on a eu pour la faille log4shell.
# Gravité élevée mais uniquement avec des configurations spécifiques
Posté par JJD . En réponse au message CVE-2021-44790 bullseye. Évalué à 7. Dernière modification le 27 décembre 2021 à 15:04.
Salut,
Ce que j'ai compris de ces deux vulnérabilités, c'est que la gravité est élevée parce que l'on peut éventuellement exécuter du code arbitraire sur le serveur, mais que cela ne concerne que des configurations spécifiques et certainement peu répandues.
La faille CVE-2021-44790 concerne le module mod_lua, qui permet d'exécuter du code en lua sur le serveur Apache. Ce module n'est normalement pas activé par défaut (au moins sous Debian) et ne doit concerner qu'un faible nombre d'installations.
De même, pour exploiter CVE-2021-44224, il faut que le serveur Apache soit configuré pour se comporter comme un proxy direct et cela ne concerne que les version 2.4.49 et 2.4.50 (les configurations où Apache sert de frontal, en reverse proxy, à des serveur d'applications ou pour du load-balancing ne sont donc pas concernées). Même si c'est bien une utilisation licite d'Apache, je pense que cela doit représenter une très faible proportion des Apache installés (pour faire ce genre de choses, il me semble que l'on prend généralement des applications spécialisées, comme squid). De plus, les serveurs proxy sont le plus souvent joignables uniquement depuis un réseau interne et/ou avec une authentification.
Je ne minimise pas le risque réel pour les serveurs ayant ce type de configuration, mais la surface d'attaque est sans commune mesure avec ce que l'on a eu pour la faille log4shell.
À+