Apache Software Foundation lanzó actualizaciones de seguridad adicionales para su servidor HTTP el jueves para corregir lo que dice es una «solución incompleta» para un rastreo de ruta y un error de ejecución remota de código que se arregló a principios de esta semana.
CVE-2021-42013, debido a que la nueva vulnerabilidad se identifica como, se basa en CVE-2021-41773, un error que afecta a los servidores web Apache con la versión 2.4.49 e incluye un error de normalización de ruta que podría permitir que un adversario acceda y vea cualquier archivos almacenados en un servidor vulnerable.
Aunque los administradores de la versión 2.4.50 corrigieron el error, el día posterior al lanzamiento de los parches, la vulnerabilidad también podría explotarse para obtener la ejecución remota de código si el módulo «mod_cgi» estaba cargado y faltaba la configuración «requiere todos los rechazados», lo que obligó a Apache para lanzar otras ruedas de actualización de emergencia.
«Se descubrió que la solución para CVE-2021-41773 en Apache HTTP Server 2.4.50 era insuficiente. Un atacante podría usar un ataque transversal de ruta para asignar URL a archivos fuera de directorios configurados por directivas similares a Alias», dijo la compañía. en el centro de consejería. «Si los archivos fuera de estos directorios no están protegidos por la configuración predeterminada habitual de ‘requerir todo lo denegado’, estas solicitudes pueden tener éxito. Si los scripts CGI también están habilitados para estas rutas de alias, esto puede permitir la ejecución remota de código».
Apache Software Foundation acreditó a Juan Escobar de Dreamlab Technologies, Fernando Muñoz del equipo NULL Life CTF y Shungo Kumasaka por informar sobre la vulnerabilidad. A la luz del uso activo, se recomienda encarecidamente a los usuarios que actualicen a la última versión (2.4.51) para mitigar el riesgo asociado con el error.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA, por sus siglas en inglés) dijo que «ve escaneos continuos de sistemas vulnerables, que se espera que se aceleren, lo que probablemente conduzca a abusos», y pidió a «las organizaciones que realicen reparaciones inmediatas si ya no lo han hecho». hazlo”.