Apache Web Sunucusu Güvenlik Zafiyeti

Apache Web Sunucusu Güvenlik Zafiyeti

Apache Web Sunucusu ile ilgili kritik* seviyeli bir güvenlik açığı yayınlandı.

Apache Web sunucusuna ait www-data hesabı; “/bin/sh” ve “/bin/bash” dahil birçok komut için sudo'yu parola olmadan çalıştıracak şekilde yapılandırılmıştır.

Etkilenen Sistemler

• Apache Web Server

IoC’ler

-

Çözüm Önerileri

Ayarların ve ayrıcalık yönetiminin titizlikle yapılması önerilir. Yazılımdaki “trust zone”ların net şekilde belirlenmesi gerekir. Ayrıca Apache Web Sunucusundaki varlık erişim yetkilerinin atanması noktasında en az yetki prensibinin (principle of least privilege) takip edilmesi önerilmektedir.

Ek olarak yetkilerin ayrılığı ilkesinin de benimsenmesi yerinde olacaktır. Sistem kaynaklarına erişim izni verilmeden önce birçok koşulun sağlanması gerekir.

CVE / CWE

CVE-2022-2104

Ek Bilgiler

• https://nvd.nist.gov/vuln/detail/CVE-2022-2104
• https://cwe.mitre.org/data/definitions/269.html
• https://www.cisa.gov/uscert/ics/advisories/icsa-22-174-03

* CVSS 3.1 skoru (10 üzerinden) 7.0-8.9 olanlar “yüksek”, 9.0-10.0 olanlar “kritik” zafiyet olarak değerlendirilmektedir.