Parche para el parche de la última vulnerabilidad en Apache

La entidad desarrolladora el popular software de servidor web, Apache Software Foundation, ha publicado hace escasos días la última versión Apache 2.4.51 tras haber observado que un parche anterior no había funcionado como se esperaba.

Tal como informa la propia entidad en su sitio web y otros medios especializados, Apache lanzó el martes 5 un parche correctivo para corregir la vulnerabilidad CVE-2021-41773, hallada en Apache HTTP Server 2.4.49.

Las vulnerabilidades en Apache no son tema menor, ya que suponen actualmente una cuota de en torno al 30% de servidores web en todo el mundo, aunque sigue un lento pero inexorable retroceso.

Path traversal corregido en Apache 2.4.49

El CVE-2021-41773 corregía una vulnerabilidad de tipo path traversal. Es decir, una mala implementación de permisos o listas de control de acceso que facilitaban que un tercero pudiera moverse dentro del sistema de archivos y visualizar los contenidos de archivos alojados en el servidor web.

Si archivos fuera del document root no están protegidos por «require all denied», estas solicitudes pueden ocurrir. Además, este fallo podría revelar el código de archivos interpretados, como scripts CGI.

Apache Software Foundation

Este ataque permite que un atacante pueda mapear URL correspondientes a archivos fuera del document root definido. La primera actualización ha terminado con este problema.

Por otro lado, poco después se vio que también provocaba una potencial ejecución remota de código, si se cargaba el módulo mod_cgi y no se había definido la comentada opción Require all denied.

A todo esto se sumó el hecho de que han ido deslizándose PoC para lanzar exploits que materializasen esta vulnerabilidad en internet, apremiando más a los sysadmin para actualizar.

Mala implementación del parche obliga a publicar uno nuevo

Sin embargo, tras publicarse la versión Apache HTTP Server 2.4.50, han tenido que apresurarse 3 días después a lanzar la versión 2.4.51, dado que el fix para la anterior CVE-2021-41773 no solventaba todo el problema.

Se encontró que el parche para la vulnerabilidad lanzado en Apache 2.4.50 fue insuficiente. Un atacante podría utilizar un ataque tipo path traversal para mapear URLs de archivos fuera de los directorios configurados en las directivas de Alias.

Apache Software Foundation

CVE-2021-42013 es el parche que han lanzado para corregir tanto los problemas de la versión 2.4.49 como 2.4.50. Esto ha generado algún que otro meme en las redes.

Finalmente, destacar que en la versión 2.4.50 también se ha corregido una des-referenciación de puntero nulo (CVE-2021-41524), mientras se procesan solicitudes HTTP/2. Esto se ha descubierto durante un ejercicio de fuzzing. Esto posibilitaría ataques tipo DoS al servidor si se envía una solicitud modificada.

En resumidas cuentas, toca parchear servidores web con Apache 2.4.51 cuanto antes.