CSIRT Panamá Aviso 2021-10-5 Apache ha emitido parches de seguridad para abordar dos vulnerabilidades.

Posted By: CSIRT Panamá October 5, 2021

CSIRT Panamá Aviso 2021-10-5 Apache ha emitido parches de seguridad para abordar dos vulnerabilidades.

Gravedad: Critica
Fecha de publicación: octubre 5, 2021
Última revisión: octubre 5, 2021
Sitio web: https://httpd.apache.org/
Sistemas Afectados:
• Apache HTTP versión 2.4.49

  1. Descripción

Apache ha emitido parches de seguridad para abordar dos vulnerabilidades, para resolver un ataque de recorrido de ruta  y una falla de divulgación de archivos en su servidor HTTP, que esta siendo explotado actualmente.

  1. Impacto
  • CVE-2021-41773

La falla, rastreada como CVE-2021-41773 , afecta solo al servidor Apache HTTP versión 2.4.49. A Ash Daulton y al equipo de seguridad de cPanel se les atribuye haber descubierto e informado el problema el 29 de septiembre de 2021.

Se encontró una falla en un cambio realizado en la normalización de rutas en Apache HTTP Server 2.4.49. Un atacante podría utilizar un ataque de recorrido de ruta para asignar URL a archivos fuera de la raíz del documento esperado. Si los archivos fuera de la raíz del documento no están protegidos por “require all denied”, estas solicitudes pueden tener éxito. Además, esta falla podría filtrar la fuente de archivos interpretados como scripts CGI. Este problema solo afecta a Apache 2.4.49 y no a versiones anteriores.

  • CVE-2021-41524

Apache también resolvió una vulnerabilidad de desreferencia de puntero nulo observada durante el procesamiento de solicitudes HTTP / 2 ( CVE-2021-41524 ), lo que permite que un adversario realice un ataque de denegación de servicio (DoS) en el servidor. La corporación sin fines de lucro dijo que la debilidad se introdujo en la versión 2.4.49.

III. Referencia a soluciones, herramientas e información

Se recomienda encarecidamente a los usuarios de Apache que parcheen lo antes posible para contener la vulnerabilidad de recorrido de ruta y mitigar cualquier riesgo asociado con la explotación

Fuentes:

https://nvd.nist.gov/vuln/detail/CVE-2021-41524

https://nvd.nist.gov/vuln/detail/CVE-2021-41773

https://httpd.apache.org/security/vulnerabilities_24.html

Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124