-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
######################## UPDATE 1.03 #############################
Titel : Kwetsbaarheden verholpen in Apache web server
Advisory ID : NCSC-2021-0861
Versie : 1.03
Kans : high
CVE ID : CVE-2021-41524, CVE-2021-41773, CVE-2021-42013
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: http://cve.mitre.org/cve/)
Schade : high
Denial-of-Service (DoS)
(Remote) code execution (Gebruikersrechten)
Toegang tot gevoelige gegevens
Uitgiftedatum : 20211008
Toepassing : Apache HTTP Server
Versie(s) : = 2.4.49
= 2.4.50
Platform(s) :
Update
Apache Software Foundation heeft aangegeven dat de patch voor versie
2.4.50 onvolledig is. Aan deze regressie is CVE-kenmerk
CVE-2021-42013 toegekend. Net als de kwetsbaarheid met kenmerk
CVE-2021-41773 wordt CVE-2021-42013 actief misbruikt.
Apache HTTP Server 2.4.51 is beschikbaar gesteld om de kwetsbaarheid
volledig te verhelpen. Organisaties worden opgeroepen om te updaten
naar versie 2.4.51. Zie "Mogelijke oplossingen" voor meer informatie
en een blogpost met indicators-of-compromise. De inschaling van dit
beveiligingsadvies blijft onverminderd HIGH/HIGH.
Beschrijving
Apache Software Foundation heeft twee kwetsbaarheden verholpen in
Apache HTTP Server. Een ongeauthenticeerde kwaadwillende op afstand
kan de kwetsbaarheden mogelijk misbruiken voor het veroorzaken van
een Denial-of-Service, het verkrijgen van toegang tot gevoelige
gegevens of het uitvoeren van willekeurige code.
De kwetsbaarheid met kenmerk CVE-2021-41524 kan mogelijk worden
misbruikt voor het veroorzaken van een Denial-of-Service. Dit kan
worden bewerkstelligd door het versturen van een speciaal
geprepareerd verzoek en resulteert in het crashen van het
httpd-proces dat het verzoek afhandelt. Doordat dergelijke processen
automatisch herstarten is een totale Denial-of-Service waarbij de
gehele webserver stopt onwaarschijnlijk.
De kwetsbaarheden met kenmerk CVE-2021-41773 en CVE-2021-42013 zijn
nieuw geïntroduceerde fouten in Apache HTTP Server 2.4.49 en 2.4.50.
De kwetsbaarheden stellen een ongeauthenticeerde kwaadwillende in
staat om middels een path-traversal toegang te krijgen tot gevoelige
gegevens buiten de scope van de Apache web server of willekeurige
code uit te voeren. Normaal gesproken heeft het webproces geen
toegang tot bestanden buiten de eigen omgeving. Echter, wanneer
"require all denied" niet in de configuratie voorkomt om toegang tot
bestanden buiten de omgeving van Apache te voorkomen, kan een
kwaadwillende door misbruik van de kwetsbaarheid toch dergelijke
bestanden benaderen of willekeurige code uitvoeren met rechten van
de webserver. Uitvoer van code is daarbij alleen mogelijk wanneer
mod-cgi is ingeschakeld.
De kwetsbaarheden met kenmerk CVE-2021-41773 en CVE-2021-42013
worden actief misbruikt. Organisaties worden opgeroepen om Apache
HTTP Server bij te werken naar versie 2.4.51. Voor zover bekend
komen deze twee specifieke kwetsbaarheden niet voor in versie 2.4.48
en ouder.
Mogelijke oplossingen
Apache Foundation heeft updates uitgebracht om de kwetsbaarheden te
verhelpen in Apache web server 2.4.51. Voor meer informatie, zie:
http://httpd.apache.org/security/vulnerabilities_24.html
Nog niet alle uitgevers van Linuxdistributies hebben
beveiligingsupdates beschikbaar gesteld die de kwetsbaarheden
verhelpen. Om de kwetsbaarheden met kenmerk CVE-2021-41773 en
CVE-2021-42013 te mitigeren dienen bestanden buiten de zogenaamde
document root te worden beschermd via de "require all
denied"-instelling. Het gebruik van deze instelling voorkomt dat de
path traversal-kwetsbaarheden kunnen worden misbruikt voor het
uitlezen van bestanden buiten de document root of het uitvoeren van
willekeurige code.
Cisco Talos heeft een blogpost gepubliceerd met mogelijke
indicators-of-compromise. Voor meer informatie, zie:
https://blog.talosintelligence.com/2021/10
/apache-vuln-threat-advisory.html
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8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=/ulv
-----END PGP SIGNATURE-----
