I. Información general

Apache ha revelado que no se ha corregido completamente la vulnerabilidad CVE-2021-41773 en Apache HTTP Server 2.4.50. Como resultado, las vulnerabilidades de recorrido de directorios y ejecución de comandos (CVE-2021-42013) todavía están presentes en Apache HTTP Server 2.4.50. Los atacantes remotos pueden utilizar el ataque de recorrido de directorios para acceder a archivos fuera del directorio raíz de archivos en el servidor web vulnerable. Si CGI está habilitado, los atacantes pueden construir solicitudes maliciosas para ejecutar código de manera remota. Actualmente, la POC de esta vulnerabilidad se ha revelado y el riesgo es alto.

Si usted es usuario de Apache HTTP Server 2.4.49/2.4.50, verifique su versión e implemente las mejoras de seguridad de manera oportuna.

Enlace de referencia:

https://httpd.apache.org/security/vulnerabilities_24.html

II. Severidad

Severidad: importante

(Severidad: baja, moderada, importante o crítica)

III. Productos afectados

Versiones afectadas:

Apache HTTP Server: 2.4.49/2.4.50

Versiones seguras:

Apache HTTP Server: 2.4.51

Otras versiones excepto Apache HTTP Server 2.4.49/2.4.50

IV. Manejo de la vulnerabilidad

Si no se utiliza Apache HTTP Server 2.4.49/2.4.50, no es necesario realizar correcciones. Las vulnerabilidades se corrigieron en la versión nueva. Si usted es usuario de Apache HTTP Server 2.4.49/2.4.50, actualícelo a una versión segura lo antes posible.

Enlace de descarga: https://httpd.apache.org/download.cgi

El servicio WAF de HUAWEI CLOUD puede protegerlo contra estas vulnerabilidades. Si usted es usuario de WAF, configure el estado básico de protección web como Block (Bloquear). Para obtener más detalles, consulte la página Cómo configurar las reglas básicas de protección web.

Nota: Antes de corregir vulnerabilidades, cree una copia de respaldo de sus archivos y realice una prueba exhaustiva.