Sårbarhet i Apache utnyttjas aktivt

En sårbarhet i Apache version 2.4.49 utnyttjas aktivt. [1, 2]Sårbarheten CVE-2021-41773 kan göra det möjligt för en angripare att koppla samman filer som inte ligger i den förväntade mappen med URL:er. Detta förutsätter att filerna inte skyddas av “require all denied”.

Sårbarheten beror på en brist i logiken för länknormalisering som introducerades i Apache 2.4.49. Det är också möjligt att sårbarheten kan utnyttjas för att komma åt CGI-skript och liknande.[1] Sårbarheten har ännu inte fått någon CVSS-klassning.

Uppdatering 2021-10-07

Beroende på konfiguration, kan det vara möjligt att utnyttja sårbarheten CVE-2021-41773 för fjärrkörning av kod (RCE). Det krävs då att modulen mod_cgi är aktiverad samt att “require all denied” saknas i Apache-konfigurationen.[3]

Uppdatering 2021-10-08

Apache meddelar att de har släppt ytterligare en säkerhetsuppdatering för sårbarheten i HTTP Server (CVE-2021-41773), då även version 2.4.50 har en kritisk sårbarhet (CVE-2021-42013). Uppdatera därför till version 2.4.51.

Påverkade produkter

Apache 2.4.49Apache 2.4.50

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara produkter så snart som möjligt.

Källor

[1] https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2021-41773

[2] https://blog.sonatype.com/apache-servers-actively-exploited-in-wild-importance-of-prompt-patching

[3] https://www.rapid7.com/blog/post/2021/10/06/apache-http-server-cve-2021-41773-exploited-in-the-wild/