Apache korjasi aktiivisesti hyväksikäytetyn nollapäivähaavoittuvuuden
Haavoittuvuus30/2021
Apache on julkaissut Apache HTTP Server -palvelinohjelmiston uuden version 2.4.51, joka korjaa kaksi haavoittuvuutta. Toista (CVE-2021-41773) korjatuista haavoittuvuuksista käytetään jo aktiivisesti hyväksi. Ohjelmisto on syytä päivittää pikimmiten.
Haavoittuvuutta hyväksikäyttämällä ulkopuolinen taho voi lukea mielivaltaisesti www-palvelimella sijaitsevia tiedostoja mistä tahansa hakemistosta. Haavoittuvuus vaikuttaa vain Apache HTTP Server -palvelinohjelmiston versioon 2.4.49.
Tietyillä ehdoilla haavoittuvuus mahdollistaa myös komentojen mielivaltaisen suorittamisen. Tämä on mahdollista, mikäli haavoittuvalla serverillä on käytössä mod-cgi -moduuli ja sen oletuskonfiguraatiosta puuttuu kohta "Require all denied". Lisätietoja voit lukea Bleeping Computerin artikkelista (Ulkoinen linkki) (ulkoinen linkki).
7.10.2021: Apache julkaisi uuden version 2.4.51, joka täydentää aiemmin julkaistua puuttelliseksi korjaukseksi jäänytttä versiota 2.4.50
Kohde
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
Vaikutukset
- Komentojen mielivaltainen suorittaminen
- Käyttövaltuuksien laajentaminen
- Luottamuksellisen tiedon hankkiminen
Hyväksikäyttömenetelmä tiedossa
- Rikollisessa käytössä
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
Apache HTTP Server versio 2.4.49
Mistä on kysymys?
Apachen sivuilta on löydettävissä asiasta lisätietoa: https://httpd.apache.org/security/vulnerabilities_24.html (Ulkoinen linkki)
Uusi päivitysversio