Аварийное обновление Apache исправляет неполный патч для эксплуатируемой ошибки

20
Кризис чипов в Малайзии открывает новую эру в сделках по поставкам

Apache Software Foundation выпустила HTTP Web Server 2.4.51 после того, как исследователи обнаружили, что предыдущее обновление безопасности не исправило активно эксплуатируемую уязвимость.

HTTP-сервер Apache — это кроссплатформенный веб-сервер с открытым исходным кодом, который обслуживает примерно 25% веб-сайтов по всему миру.

Во вторник Apache выпустил Apache HTTP 2.4.50, чтобы исправить активно используемую уязвимость обхода пути в версии 2.4.49 (отслеживается как CVE-2021-41773). Этот недостаток позволяет злоумышленникам просматривать содержимое файлов, хранящихся на уязвимом сервере.

«Ошибка была обнаружена в изменении, внесенном в нормализацию пути в Apache HTTP Server 2.4.49. Злоумышленник мог использовать атаку обхода пути для сопоставления URL-адресов с файлами за пределами ожидаемого корня документа», — сообщил Apache в рекомендациях по безопасности.

«Если файлы вне корня документа не защищены с помощью« требовать все отклонено », эти запросы могут быть успешными. Кроме того, этот недостаток может привести к утечке источника интерпретируемых файлов, таких как сценарии CGI».

Поиск с помощью Shodan выявил более 112 000 уязвимых HTTP-серверов Apache, открытых для доступа в Интернет, предоставляя злоумышленникам широкий выбор потенциальных целей.

Вскоре после выпуска обновления исследователи безопасности проанализировали и раскрыли рабочие эксплойты для уязвимости. Что еще хуже, исследователи также обнаружили, что уязвимость может быть использована для удаленного выполнения кода, если модуль mod_cgi был загружен и параметр по умолчанию «Требовать все отклонено» отсутствовал.

При таком количестве серверов, потенциально уязвимых для удаленного выполнения кода, для администраторов стало еще более важным обновлять свои HTTP-серверы Apache.

Аварийное обновление исправляет неполный патч

Сегодня Apache выпустил версию 2.4.51, обнаружив, что их предыдущее исправление для активно эксплуатируемой уязвимости CVE-2021-41773 было неполным.

«Было обнаружено, что исправления для CVE-2021-41773 в Apache HTTP Server 2.4.50 было недостаточно. Злоумышленник мог использовать атаку обхода пути для сопоставления URL-адресов с файлами вне каталогов, настроенных с помощью директив, подобных псевдониму», — заявил Apache в обновленный консультативный .

«Если файлы вне этих каталогов не защищены обычной конфигурацией по умолчанию« Требовать все отклонено », эти запросы могут быть успешными. Если сценарии CGI также включены для этих псевдонимов путей, это может позволить удаленное выполнение кода».

Этот новый вектор обхода пути отслеживается как CVE-2021-42013, и его раскрыли Хуан Эскобар из Dreamlab Technologies, Фернандо Муньос из NULL Life CTF Team и Шунго Кумасака.

Группа готовности к компьютерным чрезвычайным ситуациям США (US-CERT) сообщает, что эта новая уязвимость также используется в продолжающихся атаках.

Теперь, когда он был официально раскрыт, вскоре другие злоумышленники создадут свой собственный рабочий эксплойт.

В связи с этим настоятельно рекомендуется, чтобы администраторы немедленно обновили свои серверы до Apache HTTP 2.4.51, чтобы удалить все векторы атак, оставшиеся после предыдущего патча.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here