Apache retter 0-dagssårbarhed i HTTP-webserver

Sårbarheden er under aktiv udnyttelse.

Apache Software Foundation har udsendt version 2.4.50 af HTTP-webserveren for at imødegå to sårbarheder, hvoraf den ene aktivt udnyttes i øjeblikket. Det skriver Bleeping Computer.

Apache HTTP-serveren er en open-source, platformsuafhængig webserver, der som navnet antyder kan operere på flere forskellige platforme. Ifølge Bleeping Computer er webserveren ’alsidig, robust gratis og ekstremt populær’, hvorfor sårbarheder her kan have vidtrækkende konsekvenser.

Sårbarhederne har id’ene CVE-2021-41773 og CVE-2021-41524, men da de lige er offentliggjort, har de ikke fået en CVSS-score endnu.

For at et angreb skal lykkedes vha. den førstnævnte sårbarhed, skal den eksponerede werserver køre Apache HTTP -server 2.4.49 og have deaktiveret adgangskontrolparameteren ’require all denied’. Dette indgår i standardkonfigurationen, hvorfor det ligger lige for at aktivere den funktion for at mitigere risikoen for udnyttelse. Tidligere versioner af Apache server er efter det oplyste ikke sårbare over for fejlen. Den anden sårbarhed er ikke under udnyttelse, men er også rettet i den nye version, version 2.4.50.

Der er angiveligt over 100.000 Apache HTTP Server 2.4.49-implementeringer online, hvoraf mange ifølge Bleeping Computer kan være sårbare over for udnyttelse.

Links:

https://www.bleepingcomputer.com/news/security/apache-fixes-actively-exploited-zero-day-vulnerability-patch-now/

https://securityaffairs.co/wordpress/122999/hacking/apache-zero-day-flaw.html