Alerta de seguridad

Nivel de peligrosidad: Crítico

Descripción

Apache HTTP Server Project publicó la actualización de seguridad que corrige una falla en un cambio realizado en la normalización de rutas en Apache HTTP Server 2.4.49. Un atacante podría realizar un ataque de ruta transversal para mapear URLs a archivos fuera de la raíz del documento. El fallo también podría filtrar "la fuente de los archivos interpretados, como los scripts CGI", que pueden contener información sensible que los atacantes pueden usar para otros ataques.

Si los archivos fuera de la raíz del documento no están protegidos por la directiva “require all denied”, estas solicitudes pueden tener éxito. 

La vulnerabilidad identificada como CVE-2021-41773, afecta a los servidores Apache HTTP versión 2.4.49.

Apache también resolvió una vulnerabilidad de referencia de puntero nulo observada durante el procesamiento de solicitudes HTTP/2 (CVE-2021-41524), lo que permite que un atacante realice una denegación de servicio (DoS) en el servidor.

Se conoce la explotación activa de la vulnerabilidad de directorio transversal debido a que la misma ya cuenta con pruebas de concepto y el payload requerido para aprovechar el fallo de seguridad. 

Recursos afectados

Apache HTTP Server 2.4.49

Solución/Mitigación

Apache recomienda actualizar a la versión 2.4.50 para mitigar las vulnerabilidades encontradas.

Recomendaciones

Se recomienda instalar el parche de seguridad para la versión afectada lo antes posible para mitigar cualquier riesgo asociado con la explotación de estas fallas.

Referencias

Servidores Apache bajo ataque activo.

Apache HTTP Server 2.4 vulnerabilities