Nødopdatering fra Apache retter utilstrækkelig patch

Exploits forventes at stige i antal.

Apache Software Foundation har udsendt version 2.4.51 af HTTP-webserveren, efter at researchere har opdaget, at en tidligere udsendt sikkerhedsopdatering ikke korrekt fixede en aktivt udnyttet sårbarhed. Det skriver Bleeping Computer.

Apache HTTP Server er en open-source, cross-platform webserver, der driver cirka 25% af websteder verden over.

Tirsdag i sidste uge udgav Apache ellers version 2.4.50 for at imødegå en aktivt udnyttet sårbarhed (CVE-2021-41773), der findes i version 2.4.49. Det er en fejl, som har givet angribere mulighed for at se indholdet af filer, der er gemt på en sårbar server.

Imidlertid viste det sig, at rettelsen i version 2.4.50 var utilstrækkelig, hvilket er årsagen til, at der er udsendt en ny opdatering. Denne skulle imødegå den nye sårbarhed (med id'et CVE-2021-42013).

CISA og US-CERT melder via Twitter, at der sker aktiv scanning efter servere med sårbarhederne, og at det forventes at accelerere, hvilket ’..givetvis fører til udnyttelse’. Det anbefales, at administratorer straks opgraderer deres servere til Apache HTTP 2.4.51.

Både den gamle sårbarhed og den nye sårbarhed er stadig ved at blive analyseret hos National Vulnerability Database, hvorfor de ikke er blevet tildelt en CVSS-score endnu.

Links:

https://www.bleepingcomputer.com/news/security/apache-emergency-update-fixes-incomplete-patch-for-exploited-bug/

https://us-cert.cisa.gov/ncas/current-activity/2021/10/07/apache-releases-http-server-version-2451-address-vulnerabilities

https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2021-42013