Apache kom i forrige med en sikkerhetsoppdatering til Apache HTTP Server 2.4, som er blant verdens mest brukte programvare i webservere. Sikkerhetsoppdateringen, som har versjonsnummer 2.4.52, fjerner to ulike sårbarheter, CVE-2021-44790 og CVE-2021-44224.
Har du patchet Log4j? Nå bør du nok gjøre det enda en gang
Kritisk
Den førstnevnte anses som kritisk. Sårbarheten skyldes en buffer-overflytsfeil i mod_lua-modulen, som tolker skript skrevet med språket Lua. Sårbarheten kan utnyttes ved hjelp av spesielt utformede spørringer, men Apache skriver ingenting om hva konsekvensene kan være. Amerikanske Cybersecurity and Infrastructure Security Agency (CISA) mener sårbarheten kan gjøre det mulig for angripere å ta kontroll over det berørte systemet. Det at sårbarheten har fått hele 9,8 poeng i CVSS-systemet, understreker også at den anses som svært alvorlig.
Ikke like kritisk
Den andre sårbarheten er med 8,2 CVSS-poeng ikke like alvorlig. Den kan utnyttes ved hjelp av spesielt utformede URL-er til å få programvaren til å krasje, eventuelt også til å dirigere forespørsler til et deklarert Unix Domain Socket-endepunkt. Begge deler forutsetter at serveren er satt opp som en proxy, enten «forward» eller «reverse».
Sårbarheten ble introdusert med versjon 2.4.7.
Sikkerhetsoppdateringen har begynt å bli tilgjengelig i pakkebrønnene til ulike Linux-distribusjoner, inkludert Fedora. Framfor å tilby den nyeste versjonen, vil mange utgivere av Linux-distribusjoner i stedet fjerne sårbarhetene fra den noe eldre versjonen av programvaren, som allerede er inkludert i distribusjonen. Dette kalles for «backporting».
Over 20 milliarder i bot
