Apache: obtenir l’IP source depuis un en-tête conditionel dans les logs

Dans le cadre d’un environnement web haute disponibilité il y a généralement des répartiteurs de charge HTTP comme HAproxy ou des reverse proxies comme Apache ou Nginx en frontal qui vont s’occuper de répartir la charge et/ou filtrer une partie des requêtes pour ménager les serveurs d’application de backend.

Le principal problème rencontré dans ce type d’architecture est que, généralement, le service web de frontend va masquer l’IP source du client, réduisant la tracabilité de celui-ci sur les backends. Nous allons ici partir du principe que le service web de frontend retransmet l’IP au backend via un en-tête HTTP nommé X-Real-IP. Continuer à lire

Sécurité: Apache2

Paquet : apache2

Une vulnérabilité a été découverte dans le serveur HTTPD Apache.

  • CVE-2012-4557
    Un défaut a été découvert lorsque mod_proxy_ajp se connecte à un serveur moteur qui prend trop de temps à répondre. À partir d’une configuration spécifique, un attaquant distant pourrait envoyer certaines requêtes, placer un serveur moteur en état d’erreur jusqu’à l’expiration du délai de réessai. Cela pourrait conduire à un déni de service temporaire.

De plus, cette mise à jour diminue aussi les risques côté serveur pour le problème suivant.

  • CVE-2012-4929
    En utilisant la compression de données SSL ou TLS avec HTTPS dans une connexion à un serveur web, les attaquants en homme au milieu pourraient obtenir les en-têtes HTTP en clair. Ce problème est connu sous le nom d’attaque CRIME. Cette mise à jour d’apache2 désactive la compression SSL par défaut. Une nouvelle directive SSLCompression a été rétroportée pour pouvoir réactiver la compression de données SSL dans les environnements où l’attaque CRIME ne pose pas de problème. Pour obtenir plus de renseignements, veuillez consulter la documentation sur la directive SSLCompression.

Nous vous recommandons fortement de mettre ce paquet à jour.