Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Krytyczna luka typu RCE oraz Path Traversal w serwerze webowym Apache. Są dwie wieści – jedna zła, druga dobra.
TLDR: zła wiadomość: podatność jest łatwo wykorzystywalna zdalnie i umożliwia wykonanie kodu na serwerze. Dobra wiadomość, podatność występuje tylko w jednej (niedawno wydanej) wersji web serwera – 2.4.49 oraz wymaga włączonego modułu mod-cgi. Jest jeszcze jeden drobny warunek – szczegóły poniżej.
Apache to darmowe, otwartoźródłowe i wieloplatformowe oprogramowanie serwera WWW wydane na licencji Apache License 2.0. Oprogramowanie jest utrzymywane i rozwijane przez organizację non profit Apache Software Foundation. Według serwisu Netcraft w maju 2020 roku udział Apache wśród wszystkich serwerów webowych wynosił ponad 25%. Tymczasem w wersji 2.4.49 oprogramowania wykryto krytyczną podatność (CVE-2021-41773) typu path traversal, umożliwiającą atakującemu niekontrolowany dostęp do plików oraz katalogów, którego w normalnych warunkach nie powinien on mieć:
Tak z kolei prezentuje się PoC (Proof of Concept) tej podatności:
Jeśli zaś “path traversal” was nie przekonuje, to po spełnieniu określonych warunków (włączone mod-cgi i brak ustawienia “Require all denied”) oraz lekkiej modyfikacji wyżej przedstawionego PoC’a, istnieje możliwość zdalnego wykonywania komend:
Jeśli więc korzystasz z podatnej wersji Apache HTTP Server 2.4.49, zalecamy aktualizację do wersji 2.4.50, która zawiera łatkę omawianej w tekście luki…
~ Jakub Bielaszewski
Tak mnie zastanawia… bo to dość oklepany błąd… na serio nie da się zautomatyzować testowania nowej wersji przed wydaniem, żeby takie kwiatki nie wychodziły?