Utviklere bak Apache HTTP-serverprosjektet oppfordrer brukerne til å bruke en løsning umiddelbart for å løse et null-dagers sårbarhet.
Ifølge et sikkerhetsråd fra 5. oktober er det kjent at feilen er aktivt utnyttet i naturen.
Apache HTTP Server er et populært åpen kildekode -prosjekt med fokus på utvikling av HTTP -serverprogramvare egnet for operativsystemer inkludert UNIX og Windows.
Utgivelsen av Apache HTTP-server versjon 2.4.49 fikset en rekke sikkerhetsfeil, inkludert en validering-bypass-feil, NULL-pekerdereferanse, et denial-of-service-problem og et alvorlig sårbarhet på serversiden Request Forgery (SSRF).
Imidlertid introduserte oppdateringen også ved et uhell et eget, kritisk problem: et sårbarhetsproblem i banen som kan utnyttes til å kartlegge og lekke filer.
Sporet som CVE-2021-41773, sikkerhetsfeilen ble oppdaget av Ash Daulton fra cPanel-sikkerhetsteamet i en endring av banenormalisering i serverprogramvaren.
“En angriper kan bruke et banetraversalangrep for å kartlegge nettadresser til filer utenfor den forventede dokumentroten,” sier utviklerne. “Hvis filer utenfor dokumentroten ikke er beskyttet av” Krev alt nektet “, kan disse forespørslene lykkes. I tillegg kan denne feilen lekke kilden til tolkete filer som CGI -skript.”
Positive Technologies har reprodusert feilen, og Will Dormann, sårbarhetsanalytiker ved CERT/CC, sier at hvis mod-cgi-funksjonen er aktivert på Apache HTTP Server 2.4.49, og standard Krever all nektet funksjon mangler, så “CVE-2021 -41773 er så RCE [ekstern kjøring av kode] som den blir. ”
CVE-2021-41773 påvirker bare Apache HTTP Server 2.4.49 slik den ble introdusert i denne oppdateringen, og derfor påvirkes ikke tidligere versjoner av programvaren.
I går sa Sonatype -forskere at omtrent 112 000 Apache -servere kjører den sårbare versjonen, med omtrent 40% lokalisert i USA.
Sårbarheten ble privat rapportert 29. september, og en løsning har blitt inkludert i versjon 2.4.50, som ble gjort tilgjengelig 4. oktober. Det anbefales at brukerne oppgraderer programvareutviklingen så raskt som mulig.
Tidligere og relatert dekning
Apache Software Foundation trekker seg mange Hadoop-relaterte prosjekter
Google finansierer prosjektet for å sikre Apache webserver med ny Rust-komponent
Stantinkos Linux-malware fremstår nå som en Apache webserver
Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Sikkerhet TV Datahåndtering CXO datasentre 