Разработчики Apache предупредили, что исправить 0-day уязвимость CVE-2021-41773 не удалось с первого раза. Напомню, что об этой проблеме стало известно на прошлой неделе: сообщалось, что уязвимость уже используют хакеры, и она позволяет осуществить path traversal атаку, сопоставив URL-адреса с файлами за пределами ожидаемого корня документа. В итоге такая атака могла привести к утечке CGI-скриптов и не только.

Но вскоре после выхода патча ИБ-специалисты заговорили о том, что проблема может оказаться куда серьезнее, хотя ее исходно классифицировали неправильно. Специалисты сообщали, что баг также можно применяться для удаленного выполнения произвольного кода, а исправление, подготовленное Apache, может оказаться неэффективным.

Как выяснилось, эксперты были правы: разработчики Apache обновили свой HTTP веб-сервер до версии 2.4.51 и сообщили, что предыдущий патч для CVE-2021-41773 действительно был неполным. Новый вектор атаки, о котором предупреждали исследователи, получил собственный идентификатор — CVE-2021-42013.

По данным IoT-поисковика Shodan, количество серверов, на которых работает Apache версии 2.4.50, в настоящее время составляет около 12 000, но только около 1600 были обновлены до последней версии 2.4.51. Увы, этот факт не остался без внимания злоумышленников, и US-CERT предупреждает, что проблему уже активно используют хакеры.

Подписаться
Уведомить о
1 Комментарий
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии