De nombreuses vulnérabilités ont été identifiées et corrigées dans Apache HTTP Server 2.4.

Une vulnérabilité de haute gravité avec un score CVSS de 8.1, CVE-2021-40438, a été découverte par l'équipe de sécurité d'Apache HTTP. La faille de sécurité permet à un attaquant distant d'effectuer des attaques SSRF (server-side request forgery) qui provient d'une validation insuffisante des données fournies par l'utilisateur dans le module proxy mod.

L'envoi d'une requête HTTP spécialement conçue avec un chemin « uri » choisi, pourrait inciter le serveur Web à lancer des requêtes vers des systèmes arbitraires. Cela permettrait à l'attaquant d'accéder à des données sensibles sur le réseau local ou d'envoyer des requêtes malveillantes à d'autres serveurs.

Une autre vulnérabilité, nommée CVE-2021-33193, classée comme étant de gravité modérée, permet à une méthode élaborée, envoyée via HTTP/2, de contourner les contrôles de validation et d'être transmise par un proxy mod, ce qui peut conduire au fractionnement des requêtes ou à l'empoisonnement du cache.

Ces failles, ainsi que trois autres sont résolues dans la version 2.4.49 de HTTP Server. Plus de détails sont listés dans l’avis d’Apache.