Cyberbezpieczeństwo
Kilka poważnych podatności w Apache HTTP Server. Konieczna aktualizacja
Autor. https://www.apache.org/logos/res/httpd/httpd.png
Regularne aktualizacje oprogramowania są kluczowe dla bezpieczeństwa organizacji. Apache poinformowało o załataniu ośmiu podatności w najnowszej aktualizacji HTTP Server. Niektóre z nich umożliwiają atakującym uzyskać nieautoryzowany dostęp do danych wrażliwych.
Apache HTTP Server 2.4.60 zostało opublikowane 1 lipca. Z rozwiązania Apache korzysta prawie 1/3 stron internetowych. W wersjach 2.4.59 i wcześniejszych zidentyfikowano pięć podatności oznaczonych jako „ważne” według producenta oprogramowania.
Warto wspomnieć, że jedna z podatności najprawdopodobniej umożliwia wykradanie hashy NTLM, które są wykorzystywane w Windowsach do uwierzytelniania.
Autor. https://w3techs.com/technologies/overview/web_server
Skala podatności
Trzy luki bezpieczeństwa to SSRF (Server-Side Request Forgery). Oznacza to, że cyberprzestępcy mogą uzyskać dostęp do zasobów w sieci lokalnej, które nie powinny być dla nich nigdy widoczne. Jedna z podatności pozwala atakującym na zawieszenie serwera przy użyciu złośliwego zapytania (CVE-2024-38477).
SecurityOnline podaje, że luki bezpieczeństwa umożliwiają m.in. ominięcie uwierzytelniania lub przejęcie całkowitej kontroli nad urządzeniami.
Czytaj też
Rola otwartego oprogramowania
Apache HTTP Server jest wolnym oprogramowaniem, dzięki czemu badacze bezpieczeństwa mogą znajdować podatności w kodzie. Tak samo było również w przypadku luk bezpieczeństwa załatanych w najnowszej aktualizacji, które były zgłaszane przez społeczność. Siedem z ośmiu podatności zostało zgłoszonych przez OrangeTsai.
Ostatnim głośnym przypadkiem znalezienia krytycznej podatności było linuksowe xz.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
