Нова кръпка за активно експлоатирана уязвимост от тип 0-Day в Apache – 11.10.2021

Софтуерната фондация на Apache в четвъртък публикува допълнителни актуализации на защитата за своя HTTP сървър, за да отстрани това, което според нея е „непълна корекция“.

Новата уязвимост CVE-2021-42013 е идентифицирана и  се основава на уязвимоста CVE-2021-41773, тя е недостатък, който засяга уеб сървърите на Apache,  версия 2.4.49 и включва грешка при нормализирането на пътя, която би могла да позволи на нападател не регламентиран достъп и преглед на произволни файлове, съхранявани на уязвимия сървър.

Въпреки че недостатъкът беше отстранен във версия 2.4.50, ден след публикуването на пачовете стана известно, че слабостта може да бъде използвана за злоупотреба и за отдалечено изпълнение на код.

На потребителите силно се препоръчва да актуализират до най-новата версия (2.4.51), за да намалят риска, свързан с недостатъка.

Американската агенция за киберсигурност и сигурност на инфраструктурата (CISA) заяви, че наблюдава текущо сканиране на уязвими системи, което вероятно ще доведе до експлоатация и призовава  организациите незабавно да актуализират, ако още не са го направили.

CERT България е публикувала информация за тази уязвимост на страницата си:

https://www.govcert.bg/BG/NAW/Pages/-Apache-%D0%BF%D1%83%D0%B1%D0%BB%D0%B8%D0%BA%D1%83%D0%B2%D0%B0-HTTP-%D1%81%D1%8A%D1%80%D0%B2%D1%8A%D1%80-%D0%B2%D0%B5%D1%80%D1%81%D0%B8%D1%8F-2.4.51-%D0%B7%D0%B0-%D0%BE%D1%82%D1%81%D1%82%D1%80%D0%B0%D0%BD%D1%8F%D0%B2%D0%B0%D0%BD%D0%B5-%D0%BD%D0%B0-%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D0%B8-%D0%B2-%D0%B5%D0%BA%D1%81%D0%BF%D0%BB%D0%BE%D0%B0%D1%82%D0%B0%D1%86%D0%B8%D1%8F%D1%82%D0%B0.aspx

За повече информация относно новината, може да прочетете на следния интернет адрес:

https://thehackernews.com/2021/10/new-patch-released-for-actively.html