Apache utfärdar patch för aktivt utnyttjade nolldagarsfel
Apache har släppt version 2.4.50 för Apache HTTP-server
att fixa två sårbarheter, inklusive en aktivt utnyttjad nolldag.
Mer än hundra tusen Apache-servrar som körs på version 2.4.49 skulle vara sårbara för attacken.
En aktivt utnyttjad nolldag
Apache rullade ut en uppdatering på måndagen för att fixa ett aktivt utnyttjat nolldagsfel. Denna brist, spårad som CVE-2021-41773, introducerades i Apache HTTP Server 2.4.49-uppdateringen, som släpptes för mindre än en månad sedan. Det rapporterades förra veckan av Ash Daulton och cPanel Security Team.
Denna brist tillåter en angripare att komma åt filer utanför rotkatalogen tack vare en ” gångväg “. Normalt blockeras förfrågningar om åtkomst till filer och mappar utanför rotkatalogen. Men forskarna upptäckte att de kunde kringgå blockeringen genom att använda kodade tecken i webbadresserna, till exempel “%2e” för att representera en punkt.
Med den här tekniken kan en angripare få tillgång till känsliga filer att använda i ytterligare attacker. För att det ska fungera, parametern ” kräver att alla nekas » är avaktiverad och att servern körs med version 2.4.49, som är den enda som påverkas.
En andra sårbarhet fixad
Apache indikerade att denna sårbarhet användes i attacker, utan att beskriva dem närmare eller specificera hur. Det uppskattas att mer än hundra tusen Apache-servrar har Apache HTTP Server version 2.4.49 och är potentiellt sårbara. Det är därför lämpligt att uppdatera så snart som möjligt, särskilt eftersom bevisen på konceptet blir fler.
En andra sårbarhet har åtgärdats i den här uppdateringen. Det här är CVE-2021-41524, som gör att en angripare kan utföra en fjärröverbelastningsattack på en server med hjälp av en specialgjord begäran. Inga bevis för dess användning har hittats.
I sin senaste säkerhetsuppdatering för Android fixade Google 41 sårbarheter som sträckte sig i svårighetsgrad från “hög” till “kritisk”.
Läs mer
Källa: Bleeping Computer
