Apache waarschuwt voor onvolledige update en komt met nieuwe fix voor lek

[Captain Kirk]

De Apache Software Foundation waarschuwt beheerders van webservers voor een onvolledige beveiligingsupdate en heeft een nieuwe fix uitgerold. Apache kwam op 4 oktober met een patch voor een kwetsbaarheid in Apache versie 2.4.49, aangeduid als CVE-2021-41773. Het ging om een zerodaylek, aangezien de kwetsbaarheid al voor het uitkomen van de update actief werd misbruikt.

In eerste instantie werd gemeld dat via de kwetsbaarheid path traversal mogelijk is, waarmee een aanvaller toegang tot mappen en bestanden kan krijgen waar hij eigenlijk geen toegang toe zou moeten hebben. Wanneer "mod-cgi" staat ingeschakeld en de standaardoptie "require all denied" in de configuratie ontbreekt is ook remote code execution mogelijk, zo waarschuwden beveiligingsonderzoekers.

De problemen zouden met Apache versie 2.4.50 zijn verholpen, maar nu meldt de Apache Software Foundation dat de beveiligingsupdate onvolledig is en webservers nog steeds kwetsbaar voor path traversal en remote code execution zijn. Daarop is nu Apache HTTP Server versie 2.4.51 uitgebracht.

Volgens internetbedrijf Netcraft draait 26 procent van alle websites op internet op Apache HTTP Server. Securitybedrijf Rapid7 laat weten dat het zo'n 65.000 potentieel kwetsbare Apache-servers op internet heeft geïdentificeerd. Het kan echter zijn dat er meerdere Apache-servers op één ip-adres draaien, waardoor het aantal mogelijk hoger ligt.

 

bron: https://www.security.nl