Le 14 juillet 2014, plusieurs failles de sécurité ont été publiées concernant les serveurs utilisant Apache2. Cette faille a été publiée dans un DSA (Debian Security Advisory).

Qu'est-ce qu'elle permet ?

Cette faille permet de faire trois types de déni de service différent qui sont :

• CVE-2014-0118 concernant mod_deflate : permet un déni de service grâce à une requête contrefaite qui se décompresse à une taille bien plus grande,
• CVE-2014-0226 concernant mod_status : permet un déni de service via l’envoi de requête contrefaite sur une page de statut public,
• CVE-2014-0231 concernant mod_cgid : permet un déni de service pour les scripts CGI n’utilisant pas l’entrée standard.

Depuis quand existe-t-elle ?

Voici un état de l’impact pour chacune des failles ainsi que des principales dates :

1. CVE-2014-0118 :
   • Impact : de 2.4.1 à 2.4.4 et de 2.4.6 à 2.4.9
   • Découverte : 19 février 2014
   • Publiée : 14 juillet 2014
2. CVE-2014-0226 :
   • Impact : de 2.4.1 à 2.4.4 et de 2.4.6 à 2.4.9
   • Découverte : 30 mai 2014
   • Publiée : 14 juillet 2014
3. CVE-2014-0231 :
   • Impact : de 2.4.1 à 2.4.4 et de 2.4.6 à 2.4.9
   • Découverte : 16 juin 2014
   • Publiée : 14 juillet 2014

Comment la corriger ?

La plupart des distributions linux ont sorti un patch. Il suffit de faire vos mises à jour via le gestionnaire de paquets. Plus d'informations se trouvent sur les liens suivants :

• Site officiel d’Apache
• Pour debian
• Pour RedHat
• Pour Ubuntu
• Pour Fedora

Nous vous rappelons qu’il est recommandé de régulièrement mettre à jour vos applications et services, afin de garantir leur stabilité et sécurité.
Nous recommandons également la mise en place d’une protection de type firewall, afin de se prémunir d’accès illicites au serveur.
Si vous disposez d’une prestation mutualisée ou infogérée, sachez que nos équipes ont déjà fait le nécessaire. Notre support technique reste à votre disposition pour toute demande complémentaire.