Apache varuje pred Zero-Day Exploit v divočine — opravte svoje webové servery už teraz!

Apache vydal záplaty na riešenie dvoch bezpečnostných zraniteľností, vrátane chyby prechodu cesty a odhalenia súboru na svojom HTTP serveri, o ktorej tvrdí, že je aktívne využívaný vo voľnej prírode.

“Našla sa chyba v zmene normalizácie cesty na serveri Apache HTTP Server 2.4.49. Útočník by mohol použiť útok typu path traversal na mapovanie adries URL na súbory mimo očakávaného koreňového adresára dokumentu,“ uviedli správcovia projektu s otvoreným zdrojovým kódom v oznámení zverejnenom v utorok.

“Ak súbory mimo koreňového adresára dokumentu nie sú chránené ‘vyžadovať všetko odmietnuté’, tieto požiadavky môžu byť úspešné. Okrem toho by táto chyba mohla uniknúť zdroju interpretovaných súborov, ako sú skripty CGI.”

Chyba, sledovaná ako CVE-2021-41773, ovplyvňuje iba verziu servera Apache HTTP 2.4.49. Ash Daulton a bezpečnostný tím cPanel boli uznaní za objavenie a nahlásenie problému 29. septembra 2021.

Zdroj: PT SWARM

Apache tiež vyriešil chybu zabezpečenia pri dereferencovaní nulového ukazovateľa pozorovanú počas spracovania HTTP/2 žiadostí (CVE-2021-41524), čo umožňuje protivníkovi vykonať útok typu DoS (denial-of-service) na server. Nezisková spoločnosť uviedla, že slabina bola predstavená vo verzii 2.4.49.

Používateľom Apache sa dôrazne odporúča vykonať opravu čo najskôr, aby sa obmedzila zraniteľnosť prechodu cesty a zmiernili sa akékoľvek riziká spojené s aktívnym využívaním chyby.

Aktualizácia: Path Traversal Zero-Day v Apache vedie k RCE útokom

Aktívne využívaná chyba nultého dňa na serveri Apache HTTP je oveľa kritickejšia, než sa pôvodne predpokladalo, pričom nové využitie proof-of-concept (PoC) naznačuje, že táto zraniteľnosť presahuje prechod cesty a umožňuje útočníkom vybaviť schopnosťami vzdialeného spúšťania kódu (RCE). Bezpečnostný výskumník Hacker Fantastic, ďalej Twitterpoznamenal, že zraniteľnosť je “v skutočnosti tiež RCE, ak je povolený mod-cgi.”

Will Dormann, analytik zraniteľnosti v CERT/CC, tieto zistenia potvrdil a dodal: „Nerobil som nič šikovné okrem toho, že som v podstate reprodukoval verejné PoC na Windows keď som videl, ako sa spustí calc.exe.”