Une jolie petite faille a été découverte dans Apache 2.x permettant à un utilisateur d'utiliser un serveur quelconque comme un proxy maison.
En effet, en utilisant un header malformé, en utilisant entre autre le Transfer-Encoding et le Content-Length, Apache relançerait la requête et agirait donc comme un proxy public pour l'utilisateur en question. Cela pourrait causer de graves soucis de sécurité avec des abus de sessions, des abus de cross scripting ou tout simplement l'utilisation de votre Apache comme un proxy anonyme.
Une mise à jour, Apache 2.1.6, est déjà disponible pour corriger ce soucis, il ne reste plus qu'à appliquer la rustine et passer un bon week-end!
En effet, en utilisant un header malformé, en utilisant entre autre le Transfer-Encoding et le Content-Length, Apache relançerait la requête et agirait donc comme un proxy public pour l'utilisateur en question. Cela pourrait causer de graves soucis de sécurité avec des abus de sessions, des abus de cross scripting ou tout simplement l'utilisation de votre Apache comme un proxy anonyme.
Une mise à jour, Apache 2.1.6, est déjà disponible pour corriger ce soucis, il ne reste plus qu'à appliquer la rustine et passer un bon week-end!
Editer un commentaire