Kilka poważnych podatności w Apache HTTP Server. Konieczna aktualizacja

Apache HTTP Server 2.4.60 zostało opublikowane 1 lipca. Z rozwiązania Apache korzysta prawie 1/3 stron internetowych. W wersjach 2.4.59 i wcześniejszych zidentyfikowano pięć podatności oznaczonych jako „ważne” według producenta oprogramowania.

Warto wspomnieć, że jedna z podatności najprawdopodobniej umożliwia wykradanie hashy NTLM, które są wykorzystywane w Windowsach do uwierzytelniania.

Skala podatności

Trzy luki bezpieczeństwa to SSRF (Server-Side Request Forgery). Oznacza to, że cyberprzestępcy mogą uzyskać dostęp do zasobów w sieci lokalnej, które nie powinny być dla nich nigdy widoczne. Jedna z podatności pozwala atakującym na zawieszenie serwera przy użyciu złośliwego zapytania (CVE-2024-38477).

SecurityOnline podaje, że luki bezpieczeństwa umożliwiają m.in. ominięcie uwierzytelniania lub przejęcie całkowitej kontroli nad urządzeniami.

Rola otwartego oprogramowania

Apache HTTP Server jest wolnym oprogramowaniem, dzięki czemu badacze bezpieczeństwa mogą znajdować podatności w kodzie. Tak samo było również w przypadku luk bezpieczeństwa załatanych w najnowszej aktualizacji, które były zgłaszane przez społeczność. Siedem z ośmiu podatności zostało zgłoszonych przez OrangeTsai.

Ostatnim głośnym przypadkiem znalezienia krytycznej podatności było linuksowe xz.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].