Удаленный пользователь может получить доступ к серверам, находящимся внутри сети.
Руководители проекта по разработке web-сервера c открытым кодом Apache предупреждают о том, что их HTTP сервер уязвим к эксплоитам, которые позволяют злоумышленникам получить доступ к внутренним серверам и отправлять им web-запросы. Всем пользователям рекомендуется установить официальное обновление.
«При использовании директив RewriteRule и ProxyPassMatch для настройки обратного прокси по шаблону, есть вероятность случайного раскрытия информации о внутренних серверах удаленному пользователю, отправившему специально сформированный запрос, - говорится в официальном уведомлении . - Сервер не проверял корректность передаваемого шаблону пути».
Уязвимость была обнаружена компанией Context Information Security, предоставляющей консалтинговые услуги по информационной безопасности юридическим лицам на территории Лондона. В своем блоге исследователи заявили, что уязвимость может быть проэксплуатирована в целях получения неавторизованного доступа к мало защищённой DMZ. Эта зона должна быть доступной только проверенным пользователям.
«Мы можем получить доступ к любым внутренним/DMZ ресурсам системы, к которым может подключиться сервер проксирования, в том числе к административным интерфейсам межсетевых экранов, маршрутизаторов, web-серверов, баз данных и прочее", - говорится в публикации
Подробную информацию об уязвимости можно просмотреть здесь.
Никаких овечек — только отборные научные факты