Reklam
Security

Apache acil durum güncellemesi, istismar edilen hata için eksik düzeltme ekini düzeltir

Apache HTTP'si

Apache Software Foundation, araştırmacıların önceki bir güvenlik güncellemesinin aktif olarak yararlanılan bir güvenlik açığını doğru şekilde düzeltmediğini keşfettikten sonra HTTP Web Sunucusu 2.4.51’i yayımladı.

Apache HTTP Sunucusu, yaklaşık olarak güç sağlayan açık kaynaklı, platformlar arası bir web sunucusudur. Dünya çapındaki web sitelerinin %25’i.

Salı günü Apache, Apache HTTP 2.4.50’yi yayınladı. aktif olarak yararlanılan bir yol geçiş güvenlik açığını düzeltin 2.4.49 sürümünde (CVE-2021-41773 olarak izlenir). Bu kusur, tehdit aktörlerinin savunmasız bir sunucuda depolanan dosyaların içeriğini görüntülemesine olanak tanır.

Apache, bir güvenlik tavsiyesinde “Apache HTTP Sunucusu 2.4.49’da yol normalleştirmesinde yapılan bir değişiklikte bir kusur bulundu. Bir saldırgan, URL’leri beklenen belge kökünün dışındaki dosyalara eşlemek için bir yol geçiş saldırısı kullanabilir” dedi.

“Belge kökünün dışındaki dosyalar “tümünün reddedilmesini gerektir” ile korunmuyorsa, bu istekler başarılı olabilir. Ayrıca bu kusur, CGI komut dosyaları gibi yorumlanmış dosyaların kaynağını sızdırabilir.”

Bir Shodan araştırması, saldırganlara çok çeşitli potansiyel hedefler sağlayan 112.000’den fazla İnternete açık ve savunmasız Apache HTTP sunucusunu ortaya çıkardı.

Shodan, Apache 2.4.49 sunucularını arıyor
Shodan, Apache 2.4.49 sunucularını arıyor

Güncelleme yayınlandıktan kısa bir süre sonra güvenlik araştırmacıları, güvenlik açığı için çalışan açıkları analiz etti ve açıkladı. Daha da kötüsü, araştırmacılar güvenlik açığının uzaktan kod yürütme için kullanılabilir mod_cgi modülü yüklenmişse ve varsayılan “Tümünü reddet” seçeneği eksikse.

Uzaktan kod yürütülmesine karşı potansiyel olarak savunmasız olan bu kadar çok sunucuyla, yöneticilerin Apache HTTP sunucularını güncellemesi daha da kritik hale geldi.

Bir acil durum güncellemesi, tamamlanmamış yamayı düzeltir

Bugün Apache, aktif olarak yararlanılan CVE-2021-41773 güvenlik açığı için önceki düzeltmelerinin eksik olduğunu keşfettikten sonra 2.4.51 sürümünü yayınladı.

Apache, “Apache HTTP Server 2.4.50’deki CVE-2021-41773 düzeltmesinin yetersiz olduğu bulundu. Bir saldırgan, URL’leri Alias ​​benzeri yönergeler tarafından yapılandırılan dizinlerin dışındaki dosyalara eşlemek için bir yol geçiş saldırısı kullanabilir,” dedi Apache. bir güncellenmiş danışma.

“Bu dizinlerin dışındaki dosyalar, “tüm reddedilmeyi gerektirir” olağan varsayılan yapılandırma tarafından korunmuyorsa, bu istekler başarılı olabilir. Bu takma adlar için CGI komut dosyaları da etkinleştirilirse, bu, uzaktan kod yürütülmesine izin verebilir.”

Bu yeni yol geçiş vektörü CVE-2021-42013 olarak izleniyor ve Dreamlab Technologies’den Juan Escobar, NULL Life CTF Ekibinden Fernando Muñoz ve Shungo Kumasaka tarafından açıklandı.

Amerika Birleşik Devletleri Bilgisayar Acil Durum Hazırlık Ekibi (US-CERT), bu yeni güvenlik açığından devam eden saldırılarda da yararlanıldığını söylüyor.

Artık resmi olarak ifşa edildiğine göre, diğer tehdit aktörlerinin kendi çalışan istismarlarını yaratmaları çok uzun sürmeyecektir.

Bu nedenle, yöneticilerin önceki yamadan sonra kalan saldırı vektörlerini kaldırmak için sunucularını hemen Apache HTTP 2.4.51’e yükseltmeleri şiddetle tavsiye edilir.




Source link

Başa dön tuşu

Reklam Engelleyici Algılandı

Lütfen reklam engelleyiciyi devre dışı bırakarak bizi desteklemeyi düşünün