I. Información general

Apache ha revelado una vulnerabilidad de recorrido de directorios (CVE-2021-41773) en Apache HTTP Server 2.4.49, y la POC se ha publicado. Si se configura <Directory /> Require all granted</Directory>, los atacantes remotos pueden utilizar el ataque de recorrido de directorios para acceder a archivos fuera del directorio raíz de archivos en servidores web vulnerables. Si CGI está habilitado en Apache HTTP Server 2.4.49, los atacantes también pueden construir solicitudes maliciosas para ejecutar código de forma remota.

Si usted es usuario de Apache HTTP Server 2.4.49, verifique su versión e implemente las mejoras de seguridad de manera oportuna.

Enlace de referencia: Vulnerabilidad de recorrido de directorios y divulgación de archivos en Apache HTTP Server 2.4.49 (CVE-2021-41773)

II. Severidad

Severidad: importante

(Severidad: baja, moderada, importante o crítica)

III. Productos afectados

Versiones afectadas:

Apache HTTP Server: 2.4.49

Versiones seguras:

Apache HTTP Server: 2.4.50

Versiones distintas a Apache HTTP Server 2.4.49

IV. Manejo de la vulnerabilidad

Apache HTTP Server 2.4.49 es la versión oficial lanzada por Apache el 15 de septiembre de 2021. Si no se utiliza esta versión, no es necesario corregir la vulnerabilidad. La vulnerabilidad se corrigió en la versión más reciente. Si usted es usuario de Apache HTTP Server 2.4.49, actualícelo a una versión segura lo antes posible.

Enlace de descarga: https://httpd.apache.org/download.cgi

El servicio WAF de HUAWEI CLOUD puede proteger al usuario contra ataques que explotan esta vulnerabilidad. Si usted es usuario de WAF, configure el modo Block (Bloquear) en el área de configuración de Protección web básica. Para obtener más detalles, consulte la página Cómo configurar las reglas básicas de protección web.

Nota: Antes de corregir vulnerabilidades, cree una copia de respaldo de sus archivos y realice una prueba exhaustiva.