Tin tức và phân tích của tất cả các thiết bị di động

Bản vá các vấn đề Apache cho lỗ hổng zero-day được khai thác tích cực

Logo Apache © Apache

Phiên bản phát hành Apache 2.4.50 cho Máy chủ Apache HTTP
để sửa hai lỗ hổng bảo mật, bao gồm cả lỗi zero-day được khai thác tích cực.

Hơn một trăm nghìn máy chủ Apache đang chạy trên phiên bản 2.4.49 sẽ dễ bị tấn công.

Một zero-day được khai thác tích cực

Apache đã tung ra bản cập nhật vào thứ Hai để sửa một lỗ hổng zero-day được khai thác tích cực. Lỗ hổng này, được theo dõi là CVE-2021-41773, đã được giới thiệu trong quá trình cập nhật 2.4.49 của Máy chủ Apache HTTP, được phát hành chưa đầy một tháng trước. Nó đã được báo cáo vào tuần trước bởi Ash Daulton và Nhóm bảo mật cPanel.

Lỗ hổng này cho phép kẻ tấn công truy cập các tệp bên ngoài thư mục gốc nhờ dấu ” đường đi ngang “. Thông thường, các yêu cầu truy cập tệp và thư mục bên ngoài thư mục gốc đều bị chặn. Nhưng các nhà nghiên cứu phát hiện ra rằng họ có thể phá vỡ khối bằng cách sử dụng các ký tự được mã hóa trong URL, ví dụ “% 2e” để biểu thị một dấu chấm.

Sử dụng kỹ thuật này, kẻ tấn công có thể có quyền truy cập vào các tệp nhạy cảm để sử dụng trong các cuộc tấn công bổ sung. Để nó hoạt động, tham số ” yêu cầu tất cả bị từ chối »Bị tắt và máy chủ đang chạy với phiên bản 2.4.49, là cú đánh duy nhất.

Lỗ hổng thứ hai đã được sửa

Apache chỉ ra rằng lỗ hổng này đã được sử dụng trong các cuộc tấn công mà không mô tả thêm về chúng hoặc chỉ rõ cách thức. Người ta ước tính rằng hơn một trăm nghìn máy chủ Apache có phiên bản 2.4.49 từ Máy chủ Apache HTTP và có khả năng bị tấn công. Do đó, chúng tôi khuyến khích cập nhật càng sớm càng tốt, đặc biệt là vì các bằng chứng về khái niệm đang nhân lên.

Một lỗ hổng thứ hai đã được sửa trong bản cập nhật này. Đây là CVE-2021-41524, cho phép kẻ tấn công thực hiện một cuộc tấn công từ chối dịch vụ từ xa trên máy chủ bằng cách sử dụng một yêu cầu đặc biệt. Không có bằng chứng về việc sử dụng nó đã được tìm thấy.

Bản vá tháng 10 của Android sửa 41 lỗi bảo mật nghiêm trọng nhưng chưa được khai thác

Trong bản cập nhật bảo mật mới nhất dành cho Android, Google đã khắc phục 41 lỗ hổng với mức độ nghiêm trọng từ “cao” đến “nghiêm trọng”.
Đọc thêm

Nguồn : BleepingComputer