Apache Software Foundation объявила об исправлении уязвимости нулевого дня в проекте HTTP Web Server. Она эксплуатировалась в хакерских атаках.
CVE-2021-41773 затрагивает только web-серверы Apache версии 2.4.49. Ее эксплуатацию обеспечивает ошибка в том, как сервер Apache выполняет преобразование между разными схемами пути URL. С помощью атаки обхода каталога злоумышленник может картировать URL к файлам за пределами ожидаемого document root. Если файлы за пределами document root не защищены с помощью ‘require all denied‘, эти запросы будут успешными. Кроме того, уязвимость может привести к утечке источника интерпретированных файлов, таких как скрипты CGI.
Об атаках с эксплуатацией данной уязвимости рассказали исследователь безопасности Эш Долтон и специалисты cPanel Security Team.
Спустя несколько часов после выхода исправленной версии 2.4.50 несколько исследователей безопасности воспроизвели данную уязвимость и опубликовали в Twitter и GitHub целый ряд PoC-эксплоитов.
Администраторы Apache HTTP Server могут избежать эксплуатации уязвимости, пропустив обновление 2.4.49 и обновившись сразу до 2.4.50.
