L'utilisation dangereuse de l'outil "suEXEC" sous Apache

L'outil "suEXEC" du serveur web Apache permet de faire exécuter un CGI avec des privilèges différents de ceux accordés par défaut au service web. Cet outil n'est disponible que sur les plates-formes Linux/Unix.

Ce CGI s'exécute ainsi sous un autre compte utilisateur (sauf le compte "root") que celui utilisé pour l'exécution du serveur web Apache, ce compte possédant généralement très peu de privilèges. On peut donc comparer cette fonctionnalité aux fonctions "setuid" et "setgid" sous les systèmes Linux/Unix.

iDefense a publié ce mois-ci une série de "vulnérabilités" (CVE-2007-1741) concernant une utilisation détournée du programme "suEXEC". Cette utilisation permet à un utilisateur malveillant ayant un accès préalable au système hébergeant le serveur web d'élever ses privilèges.

Dans sa réponse aux problèmes identifiés par iDefense, la Fondation Apache estime que l'exploitation de cette vulnérabilité nécessite au préalable un accès plus ou moins privilégié (accès préalable à un compte utilisateur) au système, ce qui rend un peu caduque l'intérêt de ce problème. De plus les privilèges obtenus seront au maximum ceux qui auront été compilés avec le serveur Apache ("AP_UID_MIN" et "AP_GID_MIN"). Les privilèges "root" ne peuvent, quant à eux, jamais être invoqués via l'outil "suEXEC".

Il est dans tous les cas conseillé de ne pas utiliser l'outil "suEXEC", ou de sécuriser le serveur web, notamment en restreignant les accès utilisateurs sur le système hôte. D'ailleurs, cet outil est jugé comme un vecteur d'attaque potentielle non négligeable par la Fondation Apache qui ne le délivre pas dans l'installation par défaut de son serveur web.

Pour plus d'information :

• Référence CVE-2007-1741 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1741
• Avis de sécurité d'iDefense : http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=511
• Outil "suEXEC" d'Apache : http://httpd.apache.org/docs/2.0/suexec.html