Ontwikkelaars achter het Apache HTTP Server Project dringen er bij gebruikers op aan om onmiddellijk een oplossing toe te passen om een zero-day-kwetsbaarheid op te lossen.
Volgens een beveiligingsadvies van 5 oktober is bekend dat de bug actief wordt misbruikt in het wild.
Apache HTTP Server is een populair open source-project gericht op de ontwikkeling van HTTP-serversoftware die geschikt is voor besturingssystemen, waaronder UNIX en Windows.
De release van Apache HTTP Server versie 2.4.49 loste een hele reeks beveiligingsfouten op, waaronder een validatie-bypass-bug, NULL-pointer dereferentie, een denial-of-service-probleem en een ernstige Server-Side Request Forgery (SSRF) kwetsbaarheid.
De update introduceerde echter onbedoeld ook een afzonderlijk, kritiek probleem: een kwetsbaarheid die kan worden misbruikt om bestanden in kaart te brengen en te lekken.
Bijgehouden als CVE-2021-41773, werd de beveiligingsfout ontdekt door Ash Daulton van het cPanel-beveiligingsteam in een wijziging die werd aangebracht in padnormalisatie in de serversoftware.
“Een aanvaller kan een pathtraversal-aanval gebruiken om URL's toe te wijzen aan bestanden buiten de verwachte documentroot”, zeggen de ontwikkelaars. “Als bestanden buiten de documentroot niet worden beschermd door “Alles weigeren” kunnen deze verzoeken slagen. Bovendien kan deze fout de bron van geïnterpreteerde bestanden zoals CGI-scripts lekken.”
Positive Technologies heeft de bug gereproduceerd en Will Dormann, kwetsbaarheidsanalist bij CERT/CC, zegt dat als de mod-cgi-functie is ingeschakeld op Apache HTTP Server 2.4.49, en de standaard Require all failed-functie ontbreekt, dan “CVE-2021 -41773 is zo RCE [externe code-uitvoering] als het maar kan.”
CVE-2021-41773 heeft alleen invloed op Apache HTTP Server 2.4.49 zoals het werd geïntroduceerd in deze update en dus worden eerdere versies van de software niet beïnvloed.
Gisteren zeiden Sonatype-onderzoekers dat ongeveer 112.000 Apache-servers de kwetsbare versie draaien, waarvan ongeveer 40% zich in de Verenigde Staten bevindt.
De kwetsbaarheid is op 29 september privé gemeld en er is een oplossing opgenomen in versie 2.4.50, die op 4 oktober beschikbaar is gesteld. Het wordt aanbevolen dat gebruikers hun software-builds zo snel mogelijk upgraden.
Eerdere en gerelateerde berichtgeving
Apache Software Foundation stopt met tal van Hadoop-gerelateerde projecten
Google financiert project om Apache-webserver te beveiligen met nieuwe Rust-component
Stantinko's Linux-malware doet zich nu voor als een Apache-webserver
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 