Apache, aktif olarak yararlanılan bir kusur için eksik yamayı düzeltmek için birkaç gün içinde yeni bir güncelleme yayınladı

firataverbek

Güvenlik Uzmanı
Katılım
16 Ara 2020
Mesajlar
42
Tepki
19

Apache Software Foundation, vahşi ortamda aktif olarak kullanılan bir güvenlik açığını tamamen gidermek için HTTP Web Sunucusu 2.4.51'i yayımladı.​

Apache Software Foundation, önceki bir sürümde yalnızca kısmen ele alınan, etkin olarak yararlanılan bir yol geçiş güvenlik açığını ( CVE-2021-41773 ) ele almak için HTTP Web Sunucusu 2.4.51'i yayımladı .


Bir saldırgan, URL'leri beklenen belge kökünün dışındaki dosyalara eşlemek için kusuru tetikleyebilir.

“Apache HTTP Sunucusu 2.4.49'da yol normalleştirmesinde yapılan bir değişiklikte bir kusur bulundu. Saldırgan, URL'leri beklenen belge kökünün dışındaki dosyalara eşlemek için bir yol geçiş saldırısı kullanabilir." tavsiyeyi okur . “Belge kökünün dışındaki dosyalar “hepsinin reddedilmesini gerektir” ile korunmuyorsa, bu istekler başarılı olabilir. Ayrıca bu kusur, CGI betikleri gibi yorumlanmış dosyaların kaynağını sızdırabilir.”

Güvenlik açığı yalnızca 2.4.49 sürümünü etkiler, önceki sürümler etkilenmez. Birkaç gün önce Apache, CVE-2021-41773'ü ele almak için Apache HTTP 2.4.50'yi yayınladı.

Apache HTTP 2.4.50 uzmanları, Apache HTTP 2.4.50'nin yayınlanmasından hemen sonra, mod_cgi modülü yüklendiğinde ve varsayılan "Tüm reddedildileri iste" seçeneğinin eksik olduğu durumda kusurun kullanılmasının uzaktan kod yürütülmesine yol açabileceğini açıkladı.

Güncellenmiş bir danışma belgesine göre Apache, güvenlik açığını kesin olarak düzeltmek için 2.4.51 sürümünü yayımladı. Bu yeni yol geçiş kusurları CVE-2021-42013 olarak izlenir.

“Apache HTTP Server 2.4.50'deki CVE-2021-41773 düzeltmesinin yetersiz olduğu bulundu. Bir saldırgan, URL'leri, Alias benzeri yönergeler tarafından yapılandırılan dizinlerin dışındaki dosyalara eşlemek için bir yol geçiş saldırısı kullanabilir," diye duyurdu Apache, güncellenmiş bir danışma belgesinde . "Bu dizinlerin dışındaki dosyalar, "tüm reddedilmeyi gerektirir" olağan varsayılan yapılandırması tarafından korunmuyorsa, bu istekler başarılı olabilir. Bu takma adlar için CGI betikleri de etkinleştirilirse, bu, uzaktan kod yürütülmesine izin verebilir."

Güvenlik açığı, Dreamlab Technologies'den Juan Escobar, NULL Life CTF Ekibi'nden Fernando Muñoz ve Shungo Kumasaka tarafından bildirildi.

Amerika Birleşik Devletleri Bilgisayar Acil Durum Hazırlık Ekibi (US-CERT), Apache HTTP Sunucusu CVE-2021-41773 ve CVE-2021-42013'ün yakın istismara yol açabilecek devam eden aktif taraması konusunda uyarıyor, bu nedenle US-CERT kuruluşları, kurulumlarını hemen yamalayın.


Beni Twitter'da takip edin: @securityaffairs ve Facebook


Pierluigi Paganini

( SecurityAffairs – bilgisayar korsanlığı, RCE)
 
Üst Alt