Apache HTTP Server

Angripere utnytter nulldagssårbarhet i mye brukt webserver

Lappesaker er tilgjengelig.

Apache har fjernet en sårbarhet i HTTP Server som kan gi tilgang til filer utenfor dokumentroten.
Apache har fjernet en sårbarhet i HTTP Server som kan gi tilgang til filer utenfor dokumentroten. (Illustrasjonsfoto: Tomasz Zajda Virrage Images Inc/Colourbox. Logo: Apache: Montasje: Digi.no)

Lappesaker er tilgjengelig.

Apache kom denne uken med en ny versjon, 2.4.50, av den mye brukte webserverprogramvaren HTTP Server. I denne oppdateringen blir det fjernet to sårbarheter, hvorav den ene har blitt benyttet i faktiske angrep. 

Gir uønsket tilgang til filsystemet

Den mest alvorlige av de to sårbarhetene er også den som blir brukt i angrep. Den åpner for stitraverseringsangrep som gjør det mulig for angriperen å få tilgang til filer som ligger utenfor den forventede dokumentroten. Dette kan også inkludere kildekodefiler som vanligvis tolkes av webserveren før innhold sendes til en nettleser. Spesielt kritisk kan dette være dersom filene inneholder innloggingsinformasjon, for eksempel til databaser eller API-er. 

Det er mulig å forhindre utnyttelse av denne sårbarheten ved å beskytte alle filene på utsiden av dokumentroten med aksesskontrollinnstillingen «require all denied», men Apache anbefaler at brukere tar i bruk den nye versjonen av programvaren i stedet.

Flere brukere på Twitter har publisert eksempelkode for hvordan sårbarheten kan utnyttes. 

Kan utnyttes i tjenestenektangrep

Den andre sårbarheten regnes som noe mindre alvorlig. Den dreier seg om en «null pointer dereference»-sårbarhet. En nullpeker er en peker som peker til minne som ikke eksisterer. Problemet oppstår når programvaren forsøker å aksessere («dereference») det ikke-eksisterende minnet som pekeren peker til. 

Denne sårbarheten finnes i funksjonalitet som håndterer prosesseringen av HTTP/2-forespørsler. Sårbarheten kan utnyttes av eksterne angripere til å gjennomføre DoS-angrep mot serveren. 

Begge de to sårbarhetene ble introdusert med forrige versjon av Apache HTTP Server, 2.4.49. Ifølge søketjenesten Shodan er det bare drøyt hundre webservere i Norge, men mer enn 100.000 globalt, som benytter akkurat denne versjonen av programvaren.

Les også

Kommentarer (0)

Kommentarer (0)
Til toppen