Kompleksowe szkolenie: wprowadzenie do bezpieczeństwa IT od sekuraka z rabatem 50%. Jedyna taka okazja w tym roku. Nie przegap! :-)

Krytyczna luka typu RCE oraz Path Traversal w serwerze webowym Apache. Są dwie wieści – jedna zła, druga dobra.

06 października 2021, 21:24 | W biegu | 1 komentarz

TLDR: zła wiadomość: podatność jest łatwo wykorzystywalna zdalnie i umożliwia wykonanie kodu na serwerze. Dobra wiadomość, podatność występuje tylko w jednej (niedawno wydanej) wersji web serwera – 2.4.49 oraz wymaga włączonego modułu mod-cgi. Jest jeszcze jeden drobny warunek – szczegóły poniżej.

Apache to darmowe, otwartoźródłowe i wieloplatformowe oprogramowanie serwera WWW wydane na licencji Apache License 2.0. Oprogramowanie jest utrzymywane i rozwijane przez organizację non profit Apache Software Foundation. Według serwisu Netcraft w maju 2020 roku udział Apache wśród wszystkich serwerów webowych wynosił ponad 25%. Tymczasem w wersji 2.4.49 oprogramowania wykryto krytyczną podatność (CVE-2021-41773) typu path traversal, umożliwiającą atakującemu niekontrolowany dostęp do plików oraz katalogów, którego w normalnych warunkach nie powinien on mieć:

Tak z kolei prezentuje się PoC (Proof of Concept) tej podatności:

Jeśli zaś “path traversal” was nie przekonuje, to po spełnieniu określonych warunków (włączone mod-cgi i brak ustawienia “Require all denied”) oraz lekkiej modyfikacji wyżej przedstawionego PoC’a, istnieje możliwość zdalnego wykonywania komend:

Jeśli więc korzystasz z podatnej wersji Apache HTTP Server 2.4.49, zalecamy aktualizację do wersji 2.4.50, która zawiera łatkę omawianej w tekście luki…

~ Jakub Bielaszewski

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. asdsad

    Tak mnie zastanawia… bo to dość oklepany błąd… na serio nie da się zautomatyzować testowania nowej wersji przed wydaniem, żeby takie kwiatki nie wychodziły?

    Odpowiedz

Odpowiedz na asdsad