Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker systemutvecklare och systemadministratör till CERT-SE, centrala roller i arbetet med att utveckla Sveriges förmåga att hantera it-incidenter. Sista ansökningsdag för båda rollerna är den 21 december.

Uppdaterad | Publicerad - Sårbarhet

Sårbarhet i Apache utnyttjas aktivt (uppdaterad 2021-10-08)

En sårbarhet i Apache version 2.4.49 utnyttjas aktivt. [1, 2]

Sårbarheten CVE-2021-41773 kan göra det möjligt för en angripare att koppla samman filer som inte ligger i den förväntade mappen med URL:er. Detta förutsätter att filerna inte skyddas av "require all denied". Sårbarheten beror på en brist i logiken för länknormalisering som introducerades i Apache 2.4.49. Det är också möjligt att sårbarheten kan utnyttjas för att komma åt CGI-skript och liknande. [1]

Sårbarheten har ännu inte fått någon CVSS-klassning.

Uppdatering 2021-10-07

Beroende på konfiguration, kan det vara möjligt att utnyttja sårbarheten CVE-2021-41773 för fjärrkörning av kod (RCE). Det krävs då att modulen mod_cgi är aktiverad samt att "require all denied" saknas i Apache-konfigurationen [3].

Uppdatering 2021-10-08

Apache meddelar att de har släppt ytterligare en säkerhetsuppdatering för sårbarheten i HTTP Server (CVE-2021-41773), då även version 2.4.50 har en kritisk sårbarhet (CVE-2021-42013). Uppdatera därför till version 2.4.51.

Påverkade produkter

Apache 2.4.49
Apache 2.4.50

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara produkter så snart som möjligt.

Källor

[1] https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2021-41773
[2] https://blog.sonatype.com/apache-servers-actively-exploited-in-wild-importance-of-prompt-patching
[3] https://www.rapid7.com/blog/post/2021/10/06/apache-http-server-cve-2021-41773-exploited-in-the-wild/