Den etter hvert svært alvorlige sårbarheten som har blitt funnet i Apache HTTP Server 2.4.49 og angivelig fjernet i versjon 2.4.50, fortsetter å være til besvær.
Torsdag denne uken kom Apache med nok en oppdatering til programvaren, denne gang versjon 2.4.51, som også adresserer den samme sårbarheten.
Årsaken er at sikkerhetsfiksen som er inkludert i versjon 2.4.50 har vist seg å være utilstrekkelig. Det skal fortsatt ha vært mulig å gjennomføre sti-traverseringsangrep med URL-er til filer på utsiden av dokumentrotmappen ved hjelp av Alias-lignende direktiver.
Forutsetningen for at et slikt angrep skal kunne lykkes, er de samme som tidligere omtalt. Sårbarheten ble introdusert i Apache HTTP Server 2.4.49, så eldre versjoner er i alle fall ikke berørt av denne sårbarheten.
Vi ruster opp det digitale brannvesenet – det er ikke glemt
