Apache heeft zojuist twee beveiligingsproblemen gepatcht (CVE-2021-41773 en CVE-2021-33193) in Apache HTTP-server 2.4.49, waarvan de ene belangrijk en de andere matig.
CVE-2021-41773
CVE-2021-41773 is een kwetsbaarheid voor padtraversal en bestandsonthulling in Apache HTTP Server 2.4.49. Er zijn rapporten die aangeven dat de kwetsbaarheid in het wild is misbruikt. Volgens de officiële adviesorgaan, de fout werd gemeld door Ash Daulton samen met het cPanel-beveiligingsteam.
“Er is een fout gevonden in een wijziging die is aangebracht in padnormalisatie in Apache HTTP Server 2.4.49. Een aanvaller kan een pathtraversal-aanval gebruiken om URL's toe te wijzen aan bestanden buiten de verwachte documenthoofdmap,” het adviesorgaan zei. Het beveiligingslek kan ook worden misbruikt om de bron van geïnterpreteerde bestanden zoals CGI-scripts te lekken.
De fout is als belangrijk beoordeeld.
CVE-2021-33193
Deze kwetsbaarheid kan worden geactiveerd door: “een bewerkte methode verzonden via HTTP/2,” die validatie kan omzeilen en kan worden doorgestuurd door mod_proxy, uiteindelijk het splitsen van verzoeken of cache-vergiftiging veroorzaken. De fout, die werd gemeld door James Kettle van PortSwigger beïnvloedt Apache HTTP Server 2.4.17 aan 2.4.48, en is beoordeeld als matig.
Vorig jaar, Apache heeft een paar ernstige gepatcht zero-days in zijn Apache Guacamole remote desktop gateway. De kwetsbaarheden werden beschreven als Reverse RDP-kwetsbaarheden waardoor criminelen sessies konden overnemen. De problemen werden gevolgd in het advies CVE-2020-9497.
WAUW