اصلاح دو آسیب پذیری روز صفر در معروف ترین وب سرور دنیا

به گزارش کارگروه امنیت سایبربان؛ معروف ترین وب سرور دنیا یعنی Apache ( آپاچی ) نسخه اصلاحیه ای را برای دو آسیب پذیری امنیتی جدی منتشر کرده و از کاربران خواسته هر چه سریع تر اقدام به نصب آن کنند. این دو آسیب پذیری شامل یک نقص پیمایش مسیر و یک نقص افشای فایل در سرور HTTP می باشد که گفته می شود به صورت فعالی در حملات مورد بهره برداری قرار دارند. 

سرویس دهنده http آپاچی ( وب سرور HTTP آپاچی ) که اغلب آن را آپاچی می نامند، نقش کلیدی در توسعه و پیشرفت دنیای وب و اینترنت داشته است. این برنامه تحت مجوز آپاچی بوده و به صورت متن باز می باشد. وب سرور آپاچی بیش از 60 درصد وبسایت های دنیا را پشتیبانی می کند.

 این نقص امنیتی در تغییرات صورت گرفته در عادی سازی پیمایش ورژن 2.4.49 سرور HTTP آپاچی یافته شد. یک مهاجم می توانست با استفاده از حملات پیمایش مسیر URL ها را به فایل های خارج از روت مورد انتظار سند ارتباط دهد. این نقص همچنین می تواند فایل هایی مانند CGI اسکریپت را نیز نشت دهد.

این نقص امنیتی (CVE-2021-41773) تنها، ورژن 2.4.49 سرور HTTP آپاچی را تحت الشعاع قرار می دهد. اُش دالتون و تیم امنیتی cPanel این مشکل را روز 29 سپتامبر 2021 گزارش کردند.

دیگر آسیب پذیری اصلاح شده توسط آپاچی، آسیب پذیری دستیابی به اطلاعات از طریق نشانگر Null می باشد که حین پردازش درخواست های HTTP/2 مشاهده شده است. (CVE-2021-41524)

بازیگر مخرب می تواند با استفاده از این آسیب پذیری حملات منع سرویس را بر روی سرور ترتیب دهد. این آسیب پذیری در نسخه 2.4.49 معرفی شد.

به کاربران آپاچی توصیه می شود هر چه سریع تر آسیب پذیری پیمایش مسیر را متوقف کنند.