Los propios desarrolladores de Apache Server avisan de la urgencia en actualizar los servidores a la ultima versión disponible ya que soluciona una vulnerabilidad de día 0.
Esta vulnerabilidad vino adherida con el parche 2.4.49 a finales de septiembre, y se tiene constancia de estar siendo explotada masivamente por cibercriminales.
De acuerdo a la información compartida por los desarrolladores ; «Se encontró una falla en un cambio realizado en la normalización de rutas en Apache HTTP Server 2.4.49. Un atacante podría usar un ataque de ruta transversal para mapear URLs a archivos fuera de la raíz esperada del documento. Además, si los archivos fuera de la raíz del documento no están protegidos por ‘require all denied’, estas solicitudes pueden tener éxito. También, esta falla podría filtrar la fuente de archivos interpretados como scripts «CGI».
La vulnerabilidad fue denominada como CVE-2021-41773 y el día 29 de septiembre esta vulnerabilidad fue reportada para posteriormente ser parcheada en la versión 2.4.50, disponible a partir del día 4 de octubre.
Asimismo, se resolvió una vulnerabilidad de desreferencia de puntero nulo observada durante el procesamiento de solicitudes HTTP/2 (denominada como CVE-2021-41524). Esto permite que un agresor pueda realizar un ataque de denegación de servicio (DOS) en el servidor, por lo tanto se recomienda que cualquier servidor Apache actualice lo más rápido posible a la nueva versión.
Un par de malas traducciones:
s/exploiteada/explotada/
s/requerir todos denegados/require all denied/ (es una directiva de Apache, no deberia ser traducida).
Saludos!