Apache ha emitido parches de seguridad para abordar dos vulnerabilidades, para resolver un ataque de recorrido de ruta\u00a0 y una falla de divulgaci\u00f3n de archivos en su servidor HTTP, que esta siendo explotado actualmente.<\/p>\n\n\n\n
- Impacto<\/li><\/ol>\n\n\n\n
- CVE-2021-41773<\/li><\/ul>\n\n\n\n
La falla, rastreada como CVE-2021-41773 , afecta solo al servidor Apache HTTP versi\u00f3n 2.4.49. A Ash Daulton y al equipo de seguridad de cPanel se les atribuye haber descubierto e informado el problema el 29 de septiembre de 2021.<\/p>\n\n\n\n
Se encontr\u00f3 una falla en un cambio realizado en la normalizaci\u00f3n de rutas en Apache HTTP Server 2.4.49. Un atacante podr\u00eda utilizar un ataque de recorrido de ruta para asignar URL a archivos fuera de la ra\u00edz del documento esperado. Si los archivos fuera de la ra\u00edz del documento no est\u00e1n protegidos por \u201crequire all denied”, estas solicitudes pueden tener \u00e9xito. Adem\u00e1s, esta falla podr\u00eda filtrar la fuente de archivos interpretados como scripts CGI. Este problema solo afecta a Apache 2.4.49 y no a versiones anteriores.<\/p>\n\n\n\n
- CVE-2021-41524<\/li><\/ul>\n\n\n\n
Apache tambi\u00e9n resolvi\u00f3 una vulnerabilidad de desreferencia de puntero nulo observada durante el procesamiento de solicitudes HTTP \/ 2 ( CVE-2021-41524 ), lo que permite que un adversario realice un ataque de denegaci\u00f3n de servicio (DoS) en el servidor. La corporaci\u00f3n sin fines de lucro dijo que la debilidad se introdujo en la versi\u00f3n 2.4.49.<\/p>\n\n\n\n
III. Referencia a soluciones, herramientas e informaci\u00f3n<\/p>\n\n\n\n
Se recomienda encarecidamente a los usuarios de Apache que parcheen lo antes posible para contener la vulnerabilidad de recorrido de ruta y mitigar cualquier riesgo asociado con la explotaci\u00f3n<\/p>\n\n\n\n
<\/figure>\n\n\n\n
Fuentes:<\/p>\n\n\n\n
https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2021-41524<\/a><\/p>\n\n\n\n
https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2021-41773<\/a><\/p>\n\n\n\n
- CVE-2021-41524<\/li><\/ul>\n\n\n\n
- CVE-2021-41773<\/li><\/ul>\n\n\n\n