Обнаружена уязвимость в web-сервере Apache

Руководители проекта по разработке web-сервера c открытым кодом Apache предупреждают о том, что их HTTP сервер уязвим к эксплоитам, которые позволяют злоумышленникам получить доступ к внутренним серверам и отправлять им web-запросы. Всем пользователям рекомендуется установить официальное обновление.

«При использовании директив RewriteRule и ProxyPassMatch для настройки обратного прокси по шаблону, есть вероятность случайного раскрытия информации о внутренних серверах удаленному пользователю, отправившему специально сформированный запрос, - говорится в официальном уведомлении . - Сервер не проверял корректность передаваемого шаблону пути».

Уязвимость была обнаружена компанией Context Information Security, предоставляющей консалтинговые услуги по информационной безопасности юридическим лицам на территории Лондона. В своем блоге исследователи заявили, что уязвимость может быть проэксплуатирована в целях получения неавторизованного доступа к мало защищённой DMZ. Эта зона должна быть доступной только проверенным пользователям.

«Мы можем получить доступ к любым внутренним/DMZ ресурсам системы, к которым может подключиться сервер проксирования, в том числе к административным интерфейсам межсетевых экранов, маршрутизаторов, web-серверов, баз данных и прочее", - говорится в публикации

Подробную информацию об уязвимости можно просмотреть здесь.