Проект Apache устранил активно эксплуатируемый баг в популярном веб-сервере

7 октябрь, 2021 - 09:25

Проект Apache устранил активно эксплуатируемый баг в популярном веб-сервере

Организация Apache Software Foundation выпустила в понедельник исправление безопасности для устранения уязвимости в своем проекте HTTP Web Server, которая активно использовалась киберпреступниками.

Уязвимость, получившая обозначение CVE-2021-41773, имеет отношение только к веб-серверам Apache версии 2.4.49. Она возникает из-за ошибки в том, как сервер Apache выполняет преобразование между различными схемами пути для веб-адреса (процесс, называемый нормализацией пути).

«Злоумышленник может использовать атаку с обходом пути для сопоставления URL-адресов с файлами вне корня ожидаемого документа, — пишет команда ASF в журнале изменений Apache HTTP Server 2.4.50. — Если файлы вне корня документа не защищены с помощью «требовать всё отклонять» (require all denied), эти запросы могут увенчаться успехом. Кроме того, эта недоработка может привести к утечке источника интерпретируемых файлов, таких как скрипты CGI».

Атаки, использующие эту ошибку, были обнаружены Эшем Долтоном (Ash Daulton) вместе с группой cPanel Security Team, о чём была уведомлена команда проекта Apache.

Спустя несколько часов после выхода версии 2.4.50 несколько исследователей смогли воспроизвести уязвимость и опубликовали несколько экспериментальных эксплойтов в Twitter и GitHub.

На сегодняшний день HTTP-сервер Apache является одним из двух наиболее часто используемых веб-серверов, при этом более 120 000 таких серверов открыты для сетевых атакам. К счастью, не всё они используют версию 2.4.49, и администраторы могут избежать проблем пропустив её и обновившись сразу на 2.4.50.