Le 1er avril 2019, le projet serveur HTTP Apache a publié des vulnérabilités de type avis de sécurité, qui affectent Apache version 2.4.38 du serveur http et versions antérieures. Pour consulter l’avis de sécurité, reportez-vous à l’adresse :
https://httpd.Apache.org/Security/vulnerabilities_24.html.
Le bulletin de sécurité du projet Apache Server répertorie les applicables suivantes :
- CVE-2019-0211
- CVE-2019-0217
- CVE-2019-0215
- CVE-2019-0197
- CVE-2019-0196
- CVE-2019-0220
Description du problème
- CVE-2019-0211
Avec l’événement MPM, le worker ou la prébranche, le code exécuté dans les processus ou threads enfants moins privilégiés (y compris les scripts exécutés par un interpréteur de scripts en processus) peut exécuter du code arbitraire avec les privilèges du processus parent (généralement racine). Cette action est effectuée en modifiant le scoreboard. Les systèmes non-UNIX ne sont pas concernés.
- CVE-2019-0217
Une condition de concurrence dans mod_auth_digest lors de l’exécution d’un serveur lié peut permettre à un utilisateur possédant des informations d’identification valides de s’authentifier à l’aide d’un autre nom d’utilisateur, contournant les restrictions de contrôle d’accès configurées.
- CVE-2019-0215
Un bogue dans mod_ssl lors de l’utilisation de la vérification de certificat client par emplacement avec TLSv 1.3 permettait à un client de prendre en charge l’authentification post-négociation pour contourner les restrictions de contrôle d’accès configurées.
- CVE-2019-0197
Lorsque HTTP/2 était activé pour' http: host 'ou H2Upgrade était activé pour H2 sur un' http: Host ', une demande de mise à niveau de' http/1.1 'vers' http/2 'qui n’était pas la première demande sur une connexion pouvait entraîner une mauvaise configuration et se bloquer. Un serveur qui n’a jamais activé le protocole H2 ou qui l’a activé pour' https: 'et n’a pas configuré le' H2Upgrade on 'n’est pas affecté.
- CVE-2019-0196
En cas d’utilisation d’une entrée réseau aléatoire, la gestion des demandes http/2 peut être effectuée pour accéder à la mémoire libérée dans une comparaison de chaînes lors de la détermination de la méthode d’une demande et donc de traiter la demande de manière incorrecte.
- CVE-2019-0220
Lorsque le composant de chemin d’accès d’une URL de demande contient plusieurs barres obliques ('/') consécutives, les directives telles que LocationMatch et RewriteRule doivent tenir compte des doublons dans les expressions régulières. Tandis que les autres aspects des serveurs qui le traitent sont réduits implicitement.
Recherches et conclusions
L’équipe d’ingénierie d’ePO a étudié chacune des applicables ci-dessous et a conclu qu’ePO n’est
pas concerné :
- CVE-2019-0211 : ePO est uniquement Windows et cette CVE concerne uniquement les systèmes UNIX.
- CVE-2019-0217 : ePO n’utilise pas le module mod_auth_digest.
- CVE-2019-0215 : ePO Apache ne prend pas encore en charge TLS 1.3 .
- CVE-2019-0197 : ePO Apache ne prend pas en charge HTTP/2 pour l’instant.
- CVE-2019-0196 : ePO Apache ne prend pas en charge HTTP/2 pour l’instant.
- CVE-2019-0220 : ePO n’utilise pas la directive RewriteRule (le module de réécriture n’est pas encore activé) et n’utilise pas non plus LocationMatch.
Article connexe :
KB82555. ePolicy Orchestrator soutenu Engineering Statement (SBC1407112)-EPO et modules inclus dans le serveur HTTP Apache.