Apache ha rilasciato patch per affrontare due vulnerabilità di sicurezza, tra cui un percorso di attraversamento del percorso e un difetto di divulgazione dei file nel suo server HTTP che, secondo quanto riferito, viene attivamente sfruttato in natura.
"È stato riscontrato un difetto in una modifica apportata alla normalizzazione del percorso in Apache HTTP Server 2.4.49. Un utente malintenzionato potrebbe utilizzare un attacco di attraversamento del percorso per mappare gli URL a file al di fuori della radice del documento prevista", hanno osservato i manutentori del progetto open source in un avviso pubblicato martedì.
"Se i file al di fuori della radice del documento non sono protetti da 'richiedi tutto negato', queste richieste possono avere successo. Inoltre, questo difetto potrebbe far trapelare la fonte dei file interpretati come gli script CGI."
Il difetto, registrato come CVE-2021-41773 , interessa solo la versione del server HTTP Apache 2.4.49. Ad Ash Daulton e al cPanel Security Team è stato attribuito il merito di aver scoperto e segnalato il problema il 29 settembre 2021.
Inoltre, Apache è stata risolta da una vulnerabilità di dereferenziazione del puntatore nullo osservata durante l'elaborazione delle richieste HTTP/2 ( CVE-2021-41524 ), consentendo così a un avversario di eseguire un attacco denial-of-service (DoS) sul server. La società senza scopo di lucro ha affermato che la debolezza è stata introdotta nella versione 2.4.49.
Si consiglia vivamente agli utenti di Apache di applicare patch il prima possibile per contenere la vulnerabilità di attraversamento del percorso e mitigare qualsiasi rischio associato allo sfruttamento attivo del difetto.
Commenti
Posta un commento