Apache rettede lige to sikkerhedsrisici (CVE-2021-41773 og CVE-2021-33193) i Apache HTTP -server 2.4.49, hvoraf den ene er vigtig og den anden moderat.
CVE-2021-41773
CVE-2021-41773 er et sårbarhed over stier og filbeskyttelse i Apache HTTP-server 2.4.49. Der er rapporter, der angiver, at sårbarheden er blevet udnyttet i naturen. Ifølge den officielle rådgivende, fejlen blev rapporteret af Ash Daulton sammen med cPanel Security Team.
“Der blev fundet en fejl i en ændring, der blev foretaget til normalisering af stier i Apache HTTP -server 2.4.49. En angriber kan bruge et sti -krydsangreb til at kortlægge webadresser til filer uden for den forventede dokumentrod,” det rådgivende sagde. Sårbarheden kan også udnyttes til at lække kilden til fortolkede filer, f.eks. CGI -scripts.
Fejlen er blevet vurderet som vigtig.
CVE-2021-33193
Denne sårbarhed kan udløses af “en udformet metode sendt via HTTP/2,” som kan omgå validering og videresendes af mod_proxy, i sidste ende forårsager anmodningssplittelse eller cacheforgiftning. fejlen, som blev rapporteret af James Kettle fra PortSwigger påvirker Apache HTTP Server 2.4.17 til 2.4.48, og er blevet bedømt som moderat.
Sidste år, Apache lappet et par alvorlige nul-dage i sin Apache Guacamole remote desktop gateway. Sårbarhederne blev beskrevet som Reverse RDP -sårbarheder, som kunne give kriminelle mulighed for at overtage sessioner. Spørgsmålene blev sporet i CVE-2020-9497-rådgivningen.
WOW