Apache avisa sobre exploração ZeroDay – atualize seus servidores da Web agora!

O Apache lançou patches para abordar duas vulnerabilidades de segurança, incluindo uma “path traversal” e ” file disclosure” em seu servidor HTTP que, segundo ele, está sendo explorado ativamente.

“Uma falha foi encontrada em uma alteração feita na normalização de caminho no Apache HTTP Server 2.4.49. Um invasor pode usar um ataque de “path traversal” para mapear URLs para arquivos fora da raiz do documento esperado”, observaram os mantenedores do projeto de código aberto em um comunicado publicado terça-feira.

“Se os arquivos fora da raiz do documento não estiverem protegidos, essas solicitações podem ser bem-sucedidas. Além disso, essa falha pode vazar a fonte de arquivos interpretados como scripts CGI.”

A falha, rastreada como CVE-2021-41773 , afeta apenas o servidor Apache HTTP versão 2.4.49. Ash Daulton e a equipe de segurança do cPanel foram creditados por descobrir e relatar o problema em 29 de setembro de 2021.

Também resolvido pelo Apache é uma vulnerabilidade de “null pointer dereference” observada durante o processamento de solicitações HTTP / 2 ( CVE-2021-41524 ), permitindo que um adversário execute um ataque de negação de serviço (DoS) no servidor. A corporação sem fins lucrativos disse que a fraqueza foi introduzida na versão 2.4.49.

Os usuários do Apache são altamente recomendados para corrigir o mais rápido possível para conter a vulnerabilidade do “path traversal” e mitigar qualquer risco associado à exploração ativa da falha.