TR-17-122 (Kritik Apache Optionsbleed Zafiyeti)

Genel Bilgi

Apache HTTP sunucularının 2.2.34 ve 2.4.x ile 2.4.27'ye dek olan versiyonlarında saldırganların hedef sistemde hassas bilgilere erişimini sağlayan kritik bir zafiyet tespit edildi.

Etki

Bu zafiyetin saldırganlara "Limit" yönergesi kullanıcının .htaccess dosyası üzerinden ayarlanabiliyorsa veya yanlış konifgüre edilmiş httpd.conf dosyası mevcutsa işlem hafızasındaki gizli bilgilere uzaktan erişebilme olanağı sağladığı anlaşılmıştır. Saldırganlar sisteme sahte OPTIONS HTTP isteklerinde bulunarak gizli bilgilere erişebilmektedir.

Çözüm

Ulusal Siber Olaylara Müdahale Merkezi (USOM), sistem yöneticilerine; Apache firmasının güvenlik bültenlerini takip etmelerini, bu zafiyet hakkında yayınlanan yama kodunu ivedilikle güncellemelerini önermektedir.

Kaynaklar

https://nvd.nist.gov/vuln/detail/CVE-2017-9798

https://svn.apache.org/viewvc/httpd/httpd/branches/2.4.x/server/core.c?r1=1805223&r2=1807754&pathrev=1807754&view=patch

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9798

https://nakedsecurity.sophos.com/2017/09/19/apache-optionsbleed-vulnerability-what-you-need-to-know/amp/

2017-09-22