Bug em servidor web Apache pode expor dados confidenciais

Views: 69
0 0
Read Time:1 Minute, 35 Second

Vulnerabilidade de dia zero está sob exploração ativa e pode permitir que invasores acessem informações confidenciais

A Apache Software Foundation liberou a correção para um bug de segurança de dia zero no Apache HTTP Server, que foi relatado pela primeira vez na semana passada. A vulnerabilidade está sob exploração ativa e pode permitir que invasores acessem informações confidenciais, disse a ONG.

O Apache HTTP Server é um servidor da web de código aberto e plataforma cruzada extremamente popular por ser versátil, robusto e gratuito. Como tal, qualquer vulnerabilidade no produto tem consequências generalizadas.

De acordo com um comunicado de segurança emitido na segunda-feira, 4, o problema (CVE-2021-41773) pode permitir a passagem e a subsequente divulgação de um arquivo. Problemas de travessia de caminho permitem que pessoas não autorizadas acessem arquivos em um servidor da web, enganando-o ou o aplicativo da web em execução para retornar arquivos que estejam fora da pasta raiz da web.

A vulnerabilidade é classificada como importante, com uma pontuação no sistema de pontuação comum de vulnerabilidades (CVSS) de 5,1, em uma escala que vai de 0 a 10. O problema afeta apenas a versão 2.4.49 do servidor da web de código aberto da Apache, que oferece operabilidade de plataforma cruzada com todos os sistemas operacionais modernos, incluindo Unix e Windows.

O bug também pode expor a fonte de arquivos interpretados como scripts CGI, acrescentou o comunicado, que podem conter informações confidenciais que os invasores podem explorar para ataques futuros.

A Tenable observou que uma pesquisa do Shodan nesta terça-feira, 5, revelou que cerca de 112 mil servidores Apache HTTP estão confirmados para executar a versão vulnerável, incluindo 43 mil ou mais nos EUA. “No entanto, outros servidores da web vulneráveis ​​podem ser configurados para não exibir informações de versão”, de acordo com o blog da empresa.

FONTE: CISO ADVISOR

Previous post Empresa que roteia SMS vaza dados há cinco anos
Next post Anonymous publica dois novos vazamentos de dados da Epik, hospedeira da alt-right

Deixe um comentário