Apache HTTP Server sérülékenysége
Angol cím: Apache HTTP Server vulnerability
Publikálás dátuma: 2021.10.05.
Utolsó módosítás dátuma: 2023.11.07.
Leírás
Hozzáférési útvonal: A szoftver külső bemenetet használ a korlátozott szülőkönyvtár alatt található fájl vagy könyvtár azonosítására szolgáló helynév megalkotásához, de a szoftver nem megfelelően semlegesíti azokat a speciális elemeket az értékben, amelyek az útvonalat olyan helyre írányítják, amely a korlátozott könyvtáron kívül van.
Leírás forrása: CWE-22Elemzés leírás
Eredeti nyelven: A flaw was found in a change made to path normalization in Apache HTTP Server 2.4.49. An attacker could use a path traversal attack to map URLs to files outside the directories configured by Alias-like directives. If files outside of these directories are not protected by the usual default configuration “require all denied”, these requests can succeed. If CGI scripts are also enabled for these aliased pathes, this could allow for remote code execution. This issue is known to be exploited in the wild. This issue only affects Apache 2.4.49 and not earlier versions. The fix in Apache HTTP Server 2.4.50 was found to be incomplete, see CVE-2021-42013.
Elemzés leírás forrása: CVE-2021-41773Hatás
CVSS3.1 Súlyosság és Metrika
Alap pontszám: 7.5 (Magas)
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Hatás pontszáma: 3.6
Kihasználhatóság pontszáma: 3.9
Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Nincs
Rendelkezésre állás Hatása (A): Nincs
Következmények
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Hivatkozások
packetstormsecurity.com
packetstormsecurity.com
packetstormsecurity.com
packetstormsecurity.com
www.openwall.com
www.openwall.com
www.openwall.com
www.openwall.com
www.openwall.com
www.openwall.com
www.openwall.com
www.openwall.com
www.openwall.com
www.openwall.com
www.openwall.com
www.openwall.com
www.openwall.com
httpd.apache.org
lists.apache.org
lists.apache.org
lists.apache.org
lists.apache.org
lists.apache.org
lists.fedoraproject.org
lists.fedoraproject.org
security.gentoo.org
security.netapp.com
tools.cisco.com
www.oracle.com
Sérülékeny szoftverek
Apache Software Foundation Apache HTTP Server 2.4.49
Fedoraproject Fedora 34
Fedora 35
Oracle Instantis EnterpriseTrack 17.1
Oracle Instantis EnterpriseTrack 17.2
Oracle Instantis EnterpriseTrack 17.3
NetApp Cloud Backup
