2021/10/06

Falha no Apache HTTP Server deixa milhões de sites em risco

Há uma vulnerabilidade 0-day que está a ser usada em ataques e que afecta os servidores web com Apache.

O Apache HTTP Server é um dos softwares mais populares para servidores web, e torna-se por isso num alvo preferencial para hackers, sabendo que qualquer falha poderá ser explorada em milhões de sites web que o utilizam (uma das últimas sondagens indicava que era utilizado por mais de 55 milhões de sites na Internet).

Um bug introduzido no Apache HTTP Server 2.4.49 permite que um atacante consiga efectuar um ataque "path traversal", que permite a manipulação do endereço por forma a aceder a documentos e conteúdos que deveriam estar inacessíveis. E o mais preocupante é que já estão a ser detectados ataques que tiram partido desta falha - daí ter a designação 0-day.

Tendo em conta a quantidade de servidores web que utilizam este software, é de importância crítica que os responsáveis pelos mesmos tratem de actualizar o Apache quanto antes, embora a falha também possa ser mitigada se os ficheiros fora da pasta com os conteúdos públicos estiverem protegidos com "require all denied", o que impedirá o seu acesso. De qualquer forma, será conveniente actualizarem-no, pois também foram corrigidos outros bugs, incluindo um que facilita a realização de ataques DDoS contra os sites.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]