Angara Professional Assistance | Apache устранила опасные уязвимости в веб-сервере

Apache устранила опасные уязвимости в веб-сервере

Компания Apache Software Foundation выпустила обновленную версию веб-сервера для устранения двух уязвимостей. Одна из них, отслеживаемая под идентификатором CVE-2021-41773, активно используется в атаках типа Path Traversal (обход пути). 

HTTP-сервер Apache завоевал популярность благодаря своей универсальности, надежности и бесплатности. Согласно статистике за текущий год, первые три места среди наиболее распространенных веб-серверов в глобальной сети Интернет занимают Apache, Nginx и Microsoft-IIS, причем Apache значительно обгоняет конкурентов.

Обнаруженная в софте ошибка CVE-2021-41773 приводит к возможности использования атаки типа Path Traversal. Она заключается в использовании запросов на доступ к внутренним каталогам сервера, которые должны быть недоступны. Подобные запросы клиента обычно фильтруются веб-сервером, однако в данном случае обращение успешно выполняется за счет использования кодированных символов (ASCII) в URL-адресе. Кроме того, использование этой уязвимости может привести к утечке CGI-сценариев.

Необходимо отметить, что атака сработает только в случае, если целевой сервер использует Apache HTTP Server версии 2.4.49, а параметр управления доступом «Require all denied» отключен (как в конфигурации по умолчанию).


Вторая уязвимость – CVE-2021-41524 – включает разыменование нулевого указателя, обнаруженное во время обработки запроса HTTP/2. Этот недостаток позволяет злоумышленнику выполнить атаку отказа в обслуживании (DoS) на сервере Apache HTTP Server версии 2.4.49.

«Из-за высокого спроса на данное ПО обнаружение в нем серьезных уязвимостей может спровоцировать масштабные кибератаки по всему миру и поэтому требует от разработчиков оперативного устранения бреши в безопасности софта либо принятия временных мер дополнительной защиты веб-сервера со стороны администраторов, – комментирует старший инженер Инженерного центра Angara Professional Assistance Александра Кузнецова. – Кроме использования временных решений мы рекомендуем развернуть дополнительные системы фильтрации входящего веб-трафика на постоянной основе, такие как WAF, для расширения возможностей по предотвращению различных кибератаки, в том числе на неисправленные и еще не раскрытые уязвимости используемого ПО».

В настоящий момент все уязвимости успешно и полностью устранены в версии 2.4.51 приложения.

Наша компания предлагает услугу защиты от кибератак – решение WAF, которое позволяет не только обнаруживать и блокировать кибератаки, но также проводить сканирование уязвимостей веб-приложений на периметре. Получить более подробную информацию об услуге можно в разделе «Сервисы по модели Managed Security Services (MSS)» нашего сайта, а также обратившись к менеджерам компании Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-06.