Ir para conteúdo

Alerta de Vulnerabilidades - Apache HTTP Server

TIPO
Vulnerabilidades
SISTEMAS AFETADOS
Versões 2.4.49 e 2.4.50
ECOSSISTEMA
Apache
Descrição

A Apache Software Foundation publicou uma atualização de segurança para corrigir as vulnerabilidades de Path Traversal e Execução de Código Remoto (CVE-2021-41773 e CVE-2021-42013) no Apache HTTP Server. Só são afetadas as versões Apache 2.4.49 e 2.4.50.

Estas vulnerabilidades consistem numa falha na forma como o servidor Apache mapeia URLs para ficheiros. Um atacante pode usar um ataque “Path Traversal” para mapear URLs para ficheiros fora dos diretórios configurados através da diretiva Alias ou semelhante. Se os ficheiros fora destes diretórios não estiverem protegidos pela configuração padrão "require all denied", estes pedidos podem ter sucesso. Se os scripts do CGI também estiverem ativos para estes caminhos, isso permite a execução remota de código.

Estas vulnerabilidades estão a ser ativamente exploradas.


Impacto

Caso esta vulnerabilidade seja explorada com sucesso, permite a um atacante a execução de comandos remotos e a transferência de ficheiros diretamente do servidor.


Resolução

Os utilizadores das versões afetadas devem fazer a atualização para a versão 2.4.51, de imediato.


Referências

[1] https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2021-42013

Última atualização em 13-12-2020