Apache retter 0-dagssårbarhed i HTTP-webserver der udnyttes intensivt

Apache Software Foundation har netop udsendt ver. 2.4.50 af HTTP-webserveren for at imødegå to nul dags sårbarheder. Den ene er under aktiv udnyttelse lige snu, skriver Bleeping Computer.

Apache HTTP-serveren er en open-source webserver som benyttes af de fleste Linux servere. Det er en af de mest alsidige og robuste webservere og tilmed gratis og dermed ekstremt populær, hvorfor sårbarheder som disse her, kan have vidtrækkende konsekvenser.

Sårbarhederne har id’ene CVE-2021-41773 og CVE-2021-41524, men da de lige er offentliggjort, har de ikke fået en CVSS-score endnu.

For at et angreb skal lykkedes, skal den selve weberveren køre Apache HTTP server 2.4.49 og have deaktiveret adgangskontrolparameteren ’require all denied’. Dette indgår i standardkonfigurationen, hvorfor det ligger lige for at aktivere den funktion for at mitigere risikoen for udnyttelse. Tidligere versioner af Apache server er efter det oplyste ikke sårbare over for fejlen. Den anden sårbarhed er ikke under udnyttelse, men er også rettet i den nye version, version 2.4.50.

Der er angiveligt over 100.000 Apache HTTP Server 2.4.49-implementeringer online, hvoraf mange kan være sårbare over for udnyttelse. Det udnyttes formentlig af mange hackere siden start, eftersom hacking grupper er trænet i at udnytte sådanne sårbarheder.

De fleste Linux servere har Apache webserveren installeret, men hvis du installere autoupdate på alle funktioner kan sådanne fejl som beskrives herover undgås.

https://www.bleepingcomputer.com/news/security/apache-fixes-actively-exploited-zero-day-vulnerability-patch-now/
https://securityaffairs.co/wordpress/122999/hacking/apache-zero-day-flaw.html
Scroll til toppen