Nova vulnerabilidade no servidor Apache é descoberta. Uma vulnerabilidade de estouro de buffer no Apache HTTP Server pode permitir que invasores realizem ataques de execução remota de código.
A vulnerabilidade (CVE-2021-44790) pode ser explorada por meio de um corpo de solicitação cuidadosamente elaborado que pode causar um estouro de buffer no analisador multipart mod_lua ( r: parsebody () chamado de scripts Lua).
Ele foi encontrado por um pesquisador com o identificador ‘chamal’, que descobriu que a falha de segurança de alta gravidade estava presente no Apache HTTP Server versões 2.4.51 e anteriores.
O pesquisador relatou a vulnerabilidade aos mantenedores do projeto de código aberto na Apache Software Foundation, que desde então corrigiram o problema.
Também foi relatado ao Internet Bug Bounty (IBB), uma parceria entre organizações de tecnologia, incluindo HackerOne, Elastic, Facebook, Figma, GitHub, Shopify e TikTok.
O IBB recompensa os pesquisadores por descobrirem problemas em projetos de software de código aberto onipresentes com base em uma divisão 80/20 entre o caçador de insetos e o projeto relevante.
Neste caso, o pagamento de severidade mais alto ($ 2.500) foi concedido , com $ 2.000 alocados para o chamal e $ 500 para a Fundação Apache.
Segurança colaborativa
Kayla Underkoffler, tecnóloga sênior de segurança da HackerOne, disse ao The Daily Swig que o IBB “promove uma abordagem colaborativa e baseada na comunidade para a segurança de código aberto, incentivando os pesquisadores de segurança a relatar vulnerabilidades”.
Underkoffler explicou: “Como o código-fonte aberto é um componente crítico de toda pilha de tecnologia corporativa, as organizações têm a obrigação de contribuir de volta para os esforços de segurança desses projetos.
“O IBB ajuda as organizações a fornecer uma parte desse apoio por meio da contribuição de 20% para o projeto.”
Ela acrescentou: “O programa permite que as organizações ajudem a proteger as dependências de código aberto em suas cadeias de suprimentos de software, contribuindo com uma parte de seus fundos de recompensa por bugs já dedicados para o IBB.”
O programa bug bounty oferece suporte a algumas das tecnologias de desenvolvimento da Web de código aberto mais comumente usadas, incluindo cURL, Django, Electron, Node.js, Ruby e Apache.
Underkoffler disse: “Os fundos combinados para as recompensas generosas ditam quanto será concedido por vulnerabilidades. Quanto mais organizações contribuírem para garantir o código aberto compartilhado, maiores serão as oportunidades de recompensas generosas.”
Ela descreveu o processo de divulgação como “simples”, uma vez que o IBB é um programa de recompensas ‘pós-conserto’, em que os pagamentos são concedidos apenas depois de terem sido corrigidos e divulgados publicamente pelo projeto.
Os usuários são incentivados a atualizar para a versão mais recente do Apache HTTP Server para se proteger contra a vulnerabilidade.
