Laburpen exekutiboa
Apache HTTP Server 2.4.59 eta aurrekoetan aurkitutako kalteberatasuna, 9.1 puntuazioa CVSS-ekin esleituta, mehatxu larri bat da eta bere kudeaketa berehalako ekintza behar du. Kalteberatasun hau, mod_rewrite-n berbiderakutzeen kudeaketa oker bat ondorioz, erasotzaile bati URLak sistemako fitxategien kokapenak esleitzea eta atzitzeko aukera ematen dio, zerbitzariak bakarrik erabili beharko lukeenak. Honek kodearen exekuzioa edo kode iturburuaren argitarapena gerta daiteke. Ezinbestekoa da segurtasun arauak berrikustea eta egokitzea kalteberatasun honekin lotutako arriskua arintzeko.
Eragindako baliabideak
- Apache HTTP Server (bertsioa zehaztu gabea).
Azterketa teknikoa
- CVE-2024-38475: Mod_rewrite-n irteeraren ihes egokia ez egiteak, Apache HTTP Server 2.4.59 eta aurreko bertsioetan, erasotzaile bati sistemako fitxategien kokapenetara URLak esleitzea ahalbidetzen dio, zerbitzariak zerbitzatzeko ahalbidetzen dituenak, baina ezin da URL bidez zuzenean edo asmoz atzitu. Kodearen exekuzioa edo kode iturburuaren argitarapena gertatzen da. Zerbitzariaren testuinguruan erreferentzia atzera edo aldagaiei lehenengo ordezkapen segmento gisa erabiltzen diren ordezkapenak eragiten dira. Aldaketa honek segurtasun arauak hautsiko ditu eta "UnsafePrefixStat" berbideraketa adierazlea erabili daiteke behin eta behin ordezkapena egoki mugatuta dagoela ziurtatuta.
- CWE-116
- CVSS: 9.1 (kritikoa)
- CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
- Explotazioa: Detektatua
Arintzea/Konponbidea
Apache fabrikatzaileak bere HTTP Server produktuarekin (CVE-2024-38475) dagoen segurtasun arazoak arintzeko edo konpontzeko gomendatzen du, beren argibideen arabera kontentsio neurriak aplikatzea. Gainera, BOD 22-01 gida aplikagarria jarraitzea eskatzen du hodei zerbitzuetarako. Arintze neurriak ez badira eskuragarri, produktuaren erabilera utzi gomendatzen du. Argibide zehatzagoak lortzeko, mesedez, erreferentziatu beren webgune ofiziala: https://httpd.apache.org/security/vulnerabilities_24.html.