Alerta de Vulnerabilidades - Apache HTTP Server
A Apache Software Foundation publicou uma atualização de segurança para corrigir as vulnerabilidades de Path Traversal e Execução de Código Remoto (CVE-2021-41773 e CVE-2021-42013) no Apache HTTP Server. Só são afetadas as versões Apache 2.4.49 e 2.4.50.
Estas vulnerabilidades consistem numa falha na forma como o servidor Apache mapeia URLs para ficheiros. Um atacante pode usar um ataque “Path Traversal” para mapear URLs para ficheiros fora dos diretórios configurados através da diretiva Alias ou semelhante. Se os ficheiros fora destes diretórios não estiverem protegidos pela configuração padrão "require all denied", estes pedidos podem ter sucesso. Se os scripts do CGI também estiverem ativos para estes caminhos, isso permite a execução remota de código.
Estas vulnerabilidades estão a ser ativamente exploradas.
Caso esta vulnerabilidade seja explorada com sucesso, permite a um atacante a execução de comandos remotos e a transferência de ficheiros diretamente do servidor.
Os utilizadores das versões afetadas devem fazer a atualização para a versão 2.4.51, de imediato.
[1] https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2021-42013