Το Apache Software Foundation κυκλοφόρησε μια ενημέρωση για να αντιμετωπίσει ένα κρίσιμο ελάττωμα στον εξαιρετικά δημοφιλή web server του που επιτρέπει σε απομακρυσμένους εισβολείς να αναλάβουν τον έλεγχο ενός ευάλωτου συστήματος.
Δείτε επίσης: Η Apache κυκλοφορεί νέο 2.17.0 patch για το Log4j
Δείτε επίσης: CISA: Κυκλοφορεί Apache Log4j scanner για τον εντοπισμό ευάλωτων apps
Το ίδρυμα κυκλοφόρησε την έκδοση 2.4.52 του Apache HTTP Server (web server) που αντιμετωπίζει δύο ελαττώματα που εντοπίζονται ως CVE-2021-44790 και CVE-2021-44224, τα οποία έχουν αντίστοιχα βαθμολογίες σοβαρότητας CVSS 9,8 (κρίσιμη) και 8,2 (υψηλή) από το 10 που είναι το ανώτερο. Η βαθμολογία 9,8 είναι πολύ κακή και τις τελευταίες εβδομάδες βρίσκεται στην κορυφή μόνο από την ευπάθεια Log4j γνωστή ως Log4Shell, η οποία είχε βαθμολογία σοβαρότητας 10 στα 10.
Το πρώτο ελάττωμα του web server Apache είναι ένα buffer overflow που σχετίζεται με τη μνήμη που επηρεάζει τον Apache HTTP Server 2.4.51 και παλαιότερες εκδόσεις. Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής (CISA) προειδοποιεί ότι “μπορεί να επιτρέψει σε έναν απομακρυσμένο εισβολέα να αναλάβει τον έλεγχο ενός επηρεαζόμενου συστήματος”. Το λιγότερο σοβαρό ελάττωμα επιτρέπει την πλαστογράφηση αιτημάτων από την πλευρά του server στον Apache HTTP Server 2.4.7 έως 2.4.51.
Δείτε επίσης: Η Apache Web Server ευπάθεια επηρεάζει servers στην Ελλάδα! [Τεχνική Ανάλυση]
Ο Αpache HTTP Server είναι ο δεύτερος πιο ευρέως χρησιμοποιούμενος web server στο διαδίκτυο πίσω από τον Nginx, σύμφωνα με την W3Techs, η οποία εκτιμά ότι χρησιμοποιείται από το 31,4% των ιστοσελίδων στον κόσμο. Η βρετανική εταιρεία ασφαλείας Netcraft εκτιμά ότι 283 εκατομμύρια ιστότοποι χρησιμοποίησαν τον Apache HTTP Server τον Δεκέμβριο του 2021, αντιπροσωπεύοντας το 24% όλων των web servers.
Το κρίσιμο σφάλμα μέχρι στιγμής δεν έχει χρησιμοποιηθεί σε κάποια επίθεση.
Πηγή πληροφοριών: zdnet.com
