Una vulnerabilità zero-day affligge il webserver HTTP Apache
La notizia di oggi potrebbe essere riassunta come segue: qualsiasi webserver Apache che non abbia una versione uguale o superiore alla 2.4.50 va aggiornato.
Per chi non lo sapesse, Apache è un server cross-platform che consente di erogare contenuti HTTP, ed è anche uno dei più utilizzati. Una delle recenti release, pur risolvendo alcune importanti issue ne ha introdotta una piuttosto allarmante:
Descritta nel CVE-2021-41773 la vulnerabilità consente all’attaccante di esplorare file e cartelle (non debitamente protette) al di fuori di quanto esposto dal webserver stesso. Non solo, se gli script CGI sono abilitati all’interno dei path esposti la vulnerabilità potrebbe arrivare a consentire l’esecuzione di codice remoto.
Insomma, niente di particolarmente entusiasmante. Fortunatamente ciascuna distribuzione ha come sempre già provveduto ai pacchetti correttivi:
La parte interessante di questa vulnerabilità è in ogni caso racchiusa nel modo in cui è sfruttabile, ossia medante configurazioni approssimative. Per il suo aspetto più grave, la remote code execution, il presupposto è che ci siano delle cartelle non protette mediante le consuete (e sane) direttive require all denied.
Altro riferimento nella CVE è quello relativo al fatto che la vulnerabilità viene già utilizzata “in the wild”, quindi anche se non lo si vede, qualcuno la sta già utilizzando.
Serve aggiungere altro? Aggiornare, aggiornare, aggiornare.
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.