A Apache Software Foundation liberou a correção para um bug de segurança de dia zero no Apache HTTP Server, que foi relatado pela primeira vez na semana passada. A vulnerabilidade está sob exploração ativa e pode permitir que invasores acessem informações confidenciais, disse a ONG.
O Apache HTTP Server é um servidor da web de código aberto e plataforma cruzada extremamente popular por ser versátil, robusto e gratuito. Como tal, qualquer vulnerabilidade no produto tem consequências generalizadas.
De acordo com um comunicado de segurança emitido na segunda-feira, 4, o problema (CVE-2021-41773) pode permitir a passagem e a subsequente divulgação de um arquivo. Problemas de travessia de caminho permitem que pessoas não autorizadas acessem arquivos em um servidor da web, enganando-o ou o aplicativo da web em execução para retornar arquivos que estejam fora da pasta raiz da web.
Veja isso
Google financia melhoramentos na criptografia do Apache
Nova variante de criptojacking visa servidores Apache, Oracle e Redis
A vulnerabilidade é classificada como importante, com uma pontuação no sistema de pontuação comum de vulnerabilidades (CVSS) de 5,1, em uma escala que vai de 0 a 10. O problema afeta apenas a versão 2.4.49 do servidor da web de código aberto da Apache, que oferece operabilidade de plataforma cruzada com todos os sistemas operacionais modernos, incluindo Unix e Windows.
O bug também pode expor a fonte de arquivos interpretados como scripts CGI, acrescentou o comunicado, que podem conter informações confidenciais que os invasores podem explorar para ataques futuros.
A Tenable observou que uma pesquisa do Shodan nesta terça-feira, 5, revelou que cerca de 112 mil servidores Apache HTTP estão confirmados para executar a versão vulnerável, incluindo 43 mil ou mais nos EUA. “No entanto, outros servidores da web vulneráveis podem ser configurados para não exibir informações de versão”, de acordo com o blog da empresa.