Une vulnérabilité de débordement de la mémoire tampon dans Apache HTTP Server pourrait permettre aux attaquants d’effectuer des attaques d’exécution de code à distance.

Le vulnérabilité (CVE-2021-44790) peut être exploité via un corps de requête soigneusement conçu qui peut provoquer un débordement de tampon dans le mod_lua analyseur multipartie (r:parsebody() appelé à partir de scripts Lua).

Il a été trouvé par un chercheur avec le pseudo « chamal », qui a découvert que la faille de sécurité de haute gravité était présente dans les versions 2.4.51 et antérieures du serveur HTTP Apache.

Le chercheur a signalé la vulnérabilité aux responsables du projet open source à l’Apache Software Foundation, qui ont depuis résolu le problème.

Il a également été signalé au Prime aux bogues Internet (IBB), un partenariat entre des organisations technologiques telles que HackerOne, Elastic, Facebook, Figma, GitHub, Shopify et TikTok.

L’IBB récompense les chercheurs qui découvrent des problèmes dans des projets de logiciels open source omniprésents sur la base d’une répartition 80/20 entre le chasseur de bogues et le projet concerné.

Dans ce cas, le paiement le plus élevé (2 500 $) a été décernéavec 2 000 $ alloués à chamal et 500 $ à la Fondation Apache.

Sécurité collaborative

Kayla Underkoffler, technologue en sécurité senior chez HackerOne, a déclaré au Daily Swig que l’IBB « favorise une approche collaborative et communautaire de la sécurité open source en incitant les chercheurs en sécurité à signaler les vulnérabilités ».

Underkoffler a expliqué : « Comme l’open source est un composant essentiel de chaque pile technologique d’entreprise, les organisations ont l’obligation de contribuer aux efforts de sécurité de ces projets.

« L’IBB aide les organisations à fournir une partie de ce soutien grâce à la contribution de 20 % au projet. »

Elle a ajouté : « Le programme permet aux organisations d’aider à sécuriser les dépendances open source au sein de leurs chaînes d’approvisionnement de logiciels en versant une partie de leurs fonds de primes de bogues déjà dédiés à l’IBB. »

TU PEUX AIMER Un chercheur découvre 70 vulnérabilités d’empoisonnement du cache Web et rapporte 40 000 $ en primes de bogues

Le programme Bug Bounty prend en charge certaines des technologies de développement Web open source les plus couramment utilisées, notamment cURL, Django, Electron, Node.js, Ruby et Apache.

Underkoffler a déclaré: « Les fonds mis en commun pour les récompenses de prime dictent le montant qui sera attribué pour les vulnérabilités, plus il y a d’organisations qui contribuent à sécuriser l’open source partagé, plus les opportunités de récompenses de prime sont élevées. »

Elle a décrit le processus de divulgation comme « simple », puisque l’IBB est un programme de primes « post-fix », où les paiements ne sont accordés qu’après avoir été corrigés et rendus publics par le projet.

Les utilisateurs sont invités à mettre à jour vers la dernière version d’Apache HTTP Server afin de se protéger contre la vulnérabilité.