Apache kom denne uken med en ny versjon, 2.4.50, av den mye brukte webserverprogramvaren HTTP Server. I denne oppdateringen blir det fjernet to sårbarheter, hvorav den ene har blitt benyttet i faktiske angrep.
Gir uønsket tilgang til filsystemet
Den mest alvorlige av de to sårbarhetene er også den som blir brukt i angrep. Den åpner for stitraverseringsangrep som gjør det mulig for angriperen å få tilgang til filer som ligger utenfor den forventede dokumentroten. Dette kan også inkludere kildekodefiler som vanligvis tolkes av webserveren før innhold sendes til en nettleser. Spesielt kritisk kan dette være dersom filene inneholder innloggingsinformasjon, for eksempel til databaser eller API-er.
_logo.svg.png){kind=logo}
Det er mulig å forhindre utnyttelse av denne sårbarheten ved å beskytte alle filene på utsiden av dokumentroten med aksesskontrollinnstillingen «require all denied», men Apache anbefaler at brukere tar i bruk den nye versjonen av programvaren i stedet.
Flere brukere på Twitter har publisert eksempelkode for hvordan sårbarheten kan utnyttes.
Kan utnyttes i tjenestenektangrep
Den andre sårbarheten regnes som noe mindre alvorlig. Den dreier seg om en «null pointer dereference»-sårbarhet. En nullpeker er en peker som peker til minne som ikke eksisterer. Problemet oppstår når programvaren forsøker å aksessere («dereference») det ikke-eksisterende minnet som pekeren peker til.
Denne sårbarheten finnes i funksjonalitet som håndterer prosesseringen av HTTP/2-forespørsler. Sårbarheten kan utnyttes av eksterne angripere til å gjennomføre DoS-angrep mot serveren.
Begge de to sårbarhetene ble introdusert med forrige versjon av Apache HTTP Server, 2.4.49. Ifølge søketjenesten Shodan er det bare drøyt hundre webservere i Norge, men mer enn 100.000 globalt, som benytter akkurat denne versjonen av programvaren.
Superavansert «hack» kan ha gitt angripere full Iphone-tilgang i flere år
