Пачовете на проекта Apache HTTP Server използват уязвимостта на нулев ден

Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Разработчиците зад проекта Apache HTTP Server призовават потребителите незабавно да приложат корекция, за да отстранят уязвимостта от нулев ден.

Според препоръки за сигурност от 5 октомври е известно, че бъгът се експлоатира активно в дивата природа.

Apache HTTP Server е популярен проект с отворен код, фокусиран върху разработването на софтуер за HTTP сървър, подходящ за операционни системи, включително UNIX и Windows.

Издаването на Apache HTTP Server версия 2.4.49 коригира множество пропуски в сигурността включително грешка при заобикаляне на валидиране, пренасочване на NULL указател, проблем с отказ на услуга и сериозна уязвимост от фалшифициране на заявки от страна на сървъра (SSRF).

Актуализацията обаче и по невнимание въведена отделен, критичен проблем: уязвимост при пресичане на пътя, която може да се използва за картографиране и изтичане на файлове.

Проследява се като CVE-2021-41773, недостатъкът в сигурността е открит от Аш Долтън от екипа по защита на cPanel в промяна, направена за нормализиране на пътя в сървърния софтуер.

„Нападателят може да използва атака за пресичане на пътя, за да картографира URL адреси към файлове извън очаквания корен на документа“, казват разработчиците. “Ако файловете извън корена на документа не са защитени с” Изисквай всички отказани “, тези искания могат да бъдат успешни. Освен това този недостатък може да изтече източника на интерпретирани файлове като CGI скриптове.”

Положителните технологии имат възпроизведени грешката и Уил Дорман, анализатор на уязвимости в CERT/CC, казва това ако функцията mod-cgi е активирана на HTTP сървър Apache 2.4.49 и по подразбиране функцията Изисквай всички отхвърлени липсва, тогава „CVE-2021-41773 е като RCE [remote code execution] както стане. ”

CVE-2021-41773 засяга само Apache HTTP сървър 2.4.49, както е въведен в тази актуализация, така че по-ранните версии на софтуера не са засегнати.

Вчера, Изследователи на сонатип заяви, че приблизително 112 000 сървъра на Apache работят с уязвимата версия, като приблизително 40% се намират в САЩ.

Уязвимостта е докладвана на частно на 29 септември и корекция е включена във версия 2.4.50, която е достъпна на 4 октомври. Препоръчва се потребителите да надстроят своите софтуерни версии възможно най -бързо.


Имате бакшиш? | Сигнал на +447713 025 499 или повече в Keybase: charlie0




Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com


Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •