0
0
Vulnerabilidade de dia zero está sob exploração ativa e pode permitir que invasores acessem informações confidenciais
A Apache Software Foundation liberou a correção para um bug de segurança de dia zero no Apache HTTP Server, que foi relatado pela primeira vez na semana passada. A vulnerabilidade está sob exploração ativa e pode permitir que invasores acessem informações confidenciais, disse a ONG.
O Apache HTTP Server é um servidor da web de código aberto e plataforma cruzada extremamente popular por ser versátil, robusto e gratuito. Como tal, qualquer vulnerabilidade no produto tem consequências generalizadas.
De acordo com um comunicado de segurança emitido na segunda-feira, 4, o problema (CVE-2021-41773) pode permitir a passagem e a subsequente divulgação de um arquivo. Problemas de travessia de caminho permitem que pessoas não autorizadas acessem arquivos em um servidor da web, enganando-o ou o aplicativo da web em execução para retornar arquivos que estejam fora da pasta raiz da web.
A vulnerabilidade é classificada como importante, com uma pontuação no sistema de pontuação comum de vulnerabilidades (CVSS) de 5,1, em uma escala que vai de 0 a 10. O problema afeta apenas a versão 2.4.49 do servidor da web de código aberto da Apache, que oferece operabilidade de plataforma cruzada com todos os sistemas operacionais modernos, incluindo Unix e Windows.
O bug também pode expor a fonte de arquivos interpretados como scripts CGI, acrescentou o comunicado, que podem conter informações confidenciais que os invasores podem explorar para ataques futuros.
A Tenable observou que uma pesquisa do Shodan nesta terça-feira, 5, revelou que cerca de 112 mil servidores Apache HTTP estão confirmados para executar a versão vulnerável, incluindo 43 mil ou mais nos EUA. “No entanto, outros servidores da web vulneráveis podem ser configurados para não exibir informações de versão”, de acordo com o blog da empresa.
FONTE: CISO ADVISOR