`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Проект Apache устранил активно эксплуатируемый баг в популярном веб-сервере

0 
 

Проект Apache устранил активно эксплуатируемый баг в популярном веб-сервере

Организация Apache Software Foundation выпустила в понедельник исправление безопасности для устранения уязвимости в своем проекте HTTP Web Server, которая активно использовалась киберпреступниками.

Уязвимость, получившая обозначение CVE-2021-41773, имеет отношение только к веб-серверам Apache версии 2.4.49. Она возникает из-за ошибки в том, как сервер Apache выполняет преобразование между различными схемами пути для веб-адреса (процесс, называемый нормализацией пути).

«Злоумышленник может использовать атаку с обходом пути для сопоставления URL-адресов с файлами вне корня ожидаемого документа, — пишет команда ASF в журнале изменений Apache HTTP Server 2.4.50. — Если файлы вне корня документа не защищены с помощью «требовать всё отклонять» (require all denied), эти запросы могут увенчаться успехом. Кроме того, эта недоработка может привести к утечке источника интерпретируемых файлов, таких как скрипты CGI».

Атаки, использующие эту ошибку, были обнаружены Эшем Долтоном (Ash Daulton) вместе с группой cPanel Security Team, о чём была уведомлена команда проекта Apache.

Спустя несколько часов после выхода версии 2.4.50 несколько исследователей смогли воспроизвести уязвимость и опубликовали несколько экспериментальных эксплойтов в Twitter и GitHub.

На сегодняшний день HTTP-сервер Apache является одним из двух наиболее часто используемых веб-серверов, при этом более 120 000 таких серверов открыты для сетевых атакам. К счастью, не всё они используют версию 2.4.49, и администраторы могут избежать проблем пропустив её и обновившись сразу на 2.4.50.

Захист від кібератак у новому віртуальному світі

0 
 

Напечатать Отправить другу

Читайте также

 
 

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT