Apache Software Foundation telah merilis HTTP Web Server 2.4.51 setelah peneliti menemukan bahwa pembaruan keamanan sebelumnya tidak memperbaiki kerentanan yang dieksploitasi secara aktif dengan benar.
Apache HTTP Server adalah open-source, server web lintas platform yang mendukung sekitar 25% situs web di seluruh dunia.
Pada hari Selasa (5/10/2021), Apache merilis Apache HTTP 2.4.50 untuk memperbaiki kerentanan traversal jalur yang dieksploitasi secara aktif di versi 2.4.49 (dilacak sebagai CVE-2021-41773). Kerentanan ini memungkinkan pelaku ancaman untuk melihat konten file yang disimpan di server yang rentan.
Sesaat setelah pembaruan dirilis, peneliti keamanan menganalisis dan mengungkapkan eksploitasi yang berfungsi untuk kerentanan. Lebih buruk lagi, para peneliti juga menemukan bahwa kerentanan dapat digunakan untuk eksekusi kode jarak jauh jika modul mod_cgi dimuat dan opsi default “require all denied” tidak ada.
Kemudian pada Kamis (7/10/2021), Apache merilis versi 2.4.51 setelah menemukan bahwa perbaikan sebelumnya untuk kerentanan CVE-2021-41773 yang dieksploitasi secara aktif tidak lengkap.
“Ditemukan bahwa perbaikan untuk CVE-2021-41773 di Apache HTTP Server 2.4.50 tidak mencukupi. Penyerang dapat menggunakan serangan traversal jalur untuk memetakan URL ke file di luar direktori yang dikonfigurasi oleh arahan mirip Alias,” ungkap Apache dalam nasihat pembaharuan.
“Jika file di luar direktori ini tidak dilindungi oleh konfigurasi default biasa “memerlukan semua ditolak”, permintaan ini dapat berhasil. Jika skrip CGI juga diaktifkan untuk jalur alias ini, ini dapat memungkinkan eksekusi kode jarak jauh.”
Oleh karena itu, sangat disarankan agar admin segera mengupgrade server mereka ke Apache HTTP 2.4.51 untuk menghapus vektor serangan yang tersisa setelah patch sebelumnya.
Selengkapnya: Bleeping Computer
