APACHE HTTP SERVER

Fjerner svært alvorlig sårbarhet fra mye brukt webserver

Sårbarheten kan gi angripere full kontroll.

Logoen til The Apache Software Foundation
Logoen til The Apache Software Foundation Illustrasjon: The Apache Software Foundation. Montasje: Digi.no
Harald BrombachHarald BrombachNyhetsleder
27. des. 2021 - 10:01

Apache kom i forrige med en sikkerhetsoppdatering til Apache HTTP Server 2.4, som er blant verdens mest brukte programvare i webservere. Sikkerhetsoppdateringen, som har versjonsnummer 2.4.52, fjerner to ulike sårbarheter, CVE-2021-44790 og CVE-2021-44224.

For tredje gang på halvannen uke har det blitt fjernet sårbarheter i Log4j.
Les også

Har du patchet Log4j? Nå bør du nok gjøre det enda en gang

Kritisk

Den førstnevnte anses som kritisk. Sårbarheten skyldes en buffer-overflytsfeil i mod_lua-modulen, som tolker skript skrevet med språket Lua. Sårbarheten kan utnyttes ved hjelp av spesielt utformede spørringer, men Apache skriver ingenting om hva konsekvensene kan være. Amerikanske Cybersecurity and Infrastructure Security Agency (CISA) mener sårbarheten kan gjøre det mulig for angripere å ta kontroll over det berørte systemet. Det at sårbarheten har fått hele 9,8 poeng i CVSS-systemet, understreker også at den anses som svært alvorlig. 

Ikke like kritisk

Den andre sårbarheten er med 8,2 CVSS-poeng ikke like alvorlig. Den kan utnyttes ved hjelp av spesielt utformede URL-er til å få programvaren til å krasje, eventuelt også til å dirigere forespørsler til et deklarert Unix Domain Socket-endepunkt. Begge deler forutsetter at serveren er satt opp som en proxy, enten «forward» eller «reverse».

Sårbarheten ble introdusert med versjon 2.4.7. 

Sikkerhetsoppdateringen har begynt å bli tilgjengelig i pakkebrønnene til ulike Linux-distribusjoner, inkludert Fedora. Framfor å tilby den nyeste versjonen, vil mange utgivere av Linux-distribusjoner i stedet fjerne sårbarhetene fra den noe eldre versjonen av programvaren, som allerede er inkludert i distribusjonen. Dette kalles for «backporting».

Én manns frivillige innsats skal ha reddet dagen ved å oppdaget en subtil bakdør i Linux. Bildet viser operasjonssentralen til Nasjonalt cybersikkerhetssenter
Les også

Utvikler oppdaget Linux-bakdør: – Ville vært en global katastrofe

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.