Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Apache korjasi aktiivisesti hyväksikäytetyn nollapäivähaavoittuvuuden

Haavoittuvuus30/2021

Apache on julkaissut Apache HTTP Server -palvelinohjelmiston uuden version 2.4.51, joka korjaa kaksi haavoittuvuutta. Toista (CVE-2021-41773) korjatuista haavoittuvuuksista käytetään jo aktiivisesti hyväksi. Ohjelmisto on syytä päivittää pikimmiten.

Haavoittuvuutta hyväksikäyttämällä ulkopuolinen taho voi lukea mielivaltaisesti www-palvelimella sijaitsevia tiedostoja mistä tahansa hakemistosta. Haavoittuvuus vaikuttaa vain Apache HTTP Server -palvelinohjelmiston versioon 2.4.49.

Tietyillä ehdoilla haavoittuvuus mahdollistaa myös komentojen mielivaltaisen suorittamisen. Tämä on mahdollista, mikäli haavoittuvalla serverillä on käytössä mod-cgi -moduuli ja sen oletuskonfiguraatiosta puuttuu kohta "Require all denied". Lisätietoja voit lukea Bleeping Computerin artikkelista (Ulkoinen linkki) (ulkoinen linkki).

7.10.2021: Apache julkaisi uuden version 2.4.51, joka täydentää aiemmin julkaistua puuttelliseksi korjaukseksi jäänytttä versiota 2.4.50

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Käyttövaltuuksien laajentaminen
  • Luottamuksellisen tiedon hankkiminen

Hyväksikäyttömenetelmä tiedossa

  • Rikollisessa käytössä

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot

Apache HTTP Server versio 2.4.49

Ratkaisu- ja rajoitusmahdollisuudet

Apachen sivuilta on löydettävissä asiasta lisätietoa: https://httpd.apache.org/security/vulnerabilities_24.html (Ulkoinen linkki)

Uusi päivitysversio