Apache, zero-day zafiyetlerini giderimek için HTTP Web Sunucusunun 2.4.50 sürümünü yayımladı. İlk zafiyet CVE-2021-41773 kodu ile takip edilebilirken saldırganlar “path traversal attack” saldırıları için kullanabiliyor.
Bu saldırı HTTP sunucu üzerindeki hassas dosyalara erişime izin veriyor. Ayın zamanda CGI dosyaların kaynağının sunucu üzerinden sızdırılmasına izin verebiliyor. Zafiyetin aktif olarak sömürülmesi için Apache HTTP Sunucusu 2.4.49 sürümü ve “equire all denied” erişim kontrol parametresinin devre dışı bırakılması gerekir. Bu ayar varsayılan olarak geldiği görülüyor.
Güvenlik açığının açıklanmasından bu yana, güvenlik araştırmacıları güvenlik açığını yeniden oluşturabildi ve yöneticilerin derhal yama yapması gerektiği konusunda uyardı.
Shodan üzerinde çevrimiçi olarak yüz binden fazla Apache HTTP Sunucusu 2.4.49 dağıtımı olduğunu görülmekte ve bunların çoğu istismara karşı savunmasız olabilir, bu nedenle yazılımınızı mümkün olan en kısa sürede güncellenmesi gerekiyor.
İkinci güvenlik açığı CVE-2021-41524 olarak takip edilirken saldırganın sunucuda bir hizmet reddi (DoS) saldırısı gerçekleştirmesine olanak tanıyor. Bu kusur da yalnızca Apache Sunucusu sürüm 2.4.49’da mevcuttur, ancak aktif olarak kullanılmamaktadır. Üç hafta önce keşfedildi, geçen ayın sonlarında düzeltildi.
Kaynak: bleepingcomputer.com