Vulnérabilité dans le serveur Apache (CVE-2021-44790)
Date de publication :
CVE-2021-44790[Score CVSS v3.1: 9.8]
L’éditeur a constaté que le module mod_lua du serveur Apache contrôlait la taille des données de manière incorrecte, ce qui peut générer des débordements de mémoire tampon.
Un attaquant peut forger des requêtes malveillantes afin de provoquer un déni de service ou exécuter du code arbitraire sur le système.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Risques
- Déni de service
- Exécution de code arbitraire
Criticité
- Score CVSS v3.1: 9.8
La faille est activement exploitée
- Non
Un correctif existe
- Oui
Une mesure de contournement existe
- Non
Les vulnérabilités exploitées sont du type
- CWE-787 : Out-of-bounds Write
Détails sur l’exploitation
- Vecteur d’attaque : Réseau
- Complexité de l’attaque : Faible
- Privilèges nécessaires pour réaliser l’attaque : Non
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Composants vulnérables.
Les versions suivantes du serveur Apache :
- 2.4.7
- 2.4.8
- 2.4.9
- 2.4.10
- 2.4.12
- 2.4.18
- 2.4.20
- 2.4.17
- 2.4.23
- 2.4.29
- 2.4.33
- 2.4.30
- 2.4.25
- 2.4.26
- 2.4.27
- 2.4.28
- 2.4.34
- 2.4.35
- 2.4.36
- 2.4.37
- 2.4.38
- 2.4.38
- 2.4.39
- 2.4.16
- 2.4.41
- 2.4.43
- 2.4.46
- 2.4.48
- 2.4.49
- 2.4.50
- 2.4.51
Solutions ou recommandations
- Appliquer la mise à jour vers la version 2.4.52 du serveur Apache, ou une autre version plus récente.