Krytyczna luka typu RCE oraz Path Traversal w serwerze webowym Apache. Są dwie wieści – jedna zła, druga dobra.

TLDR: zła wiadomość: podatność jest łatwo wykorzystywalna zdalnie i umożliwia wykonanie kodu na serwerze. Dobra wiadomość, podatność występuje tylko w jednej (niedawno wydanej) wersji web serwera – 2.4.49 oraz wymaga włączonego modułu mod-cgi. Jest jeszcze jeden drobny warunek – szczegóły poniżej.

Apache to darmowe, otwartoźródłowe i wieloplatformowe oprogramowanie serwera WWW wydane na licencji Apache License 2.0. Oprogramowanie jest utrzymywane i rozwijane przez organizację non profit Apache Software Foundation. Według serwisu Netcraft w maju 2020 roku udział Apache wśród wszystkich serwerów webowych wynosił ponad 25%. Tymczasem w wersji 2.4.49 oprogramowania wykryto krytyczną podatność (CVE-2021-41773) typu path traversal, umożliwiającą atakującemu niekontrolowany dostęp do plików oraz katalogów, którego w normalnych warunkach nie powinien on mieć:

Tak z kolei prezentuje się PoC (Proof of Concept) tej podatności:

Jeśli zaś “path traversal” was nie przekonuje, to po spełnieniu określonych warunków (włączone mod-cgi i brak ustawienia “Require all denied”) oraz lekkiej modyfikacji wyżej przedstawionego PoC’a, istnieje możliwość zdalnego wykonywania komend:

Jeśli więc korzystasz z podatnej wersji Apache HTTP Server 2.4.49, zalecamy aktualizację do wersji 2.4.50, która zawiera łatkę omawianej w tekście luki…

~ Jakub Bielaszewski