-
09/04/2020
-
85
-
557 bài viết
Bản cập nhật mới của Apache cho máy chủ HTTP vá 2 lỗ hổng nghiêm trọng
Apache Software Foundation đã phát hành một bản cập nhật để giải quyết lỗ hổng nghiêm trọng trong máy chủ web cực kỳ phổ biến của hãng, cho phép những kẻ tấn công từ xa kiểm soát hệ thống tồn tại lỗ hổng.
Hai lỗ hổng có mã định danh là CVE-2021-44790 và CVE-2021-44224, với điểm CVSS tương ứng là 9,8 (nghiêm trọng) và 8,2 (cao) được hãng xử lý trong phiên bản 2.4.52 của máy chủ Apache HTTP (máy chủ web).
Lỗ hổng máy chủ web Apache đầu tiên là lỗi tràn bộ nhớ ảnh hưởng đến Apache HTTP Server 2.4.51 trở về trước. Cơ quan An ninh mạng và Cơ sở hạ tầng |Hoa Kỳ (CISA) cảnh báo nó "có thể cho phép kẻ tấn công từ xa chiếm quyền kiểm soát một hệ thống bị ảnh hưởng". Lỗ hổng ít nghiêm trọng hơn cho phép giả mạo yêu cầu phía máy chủ trong Apache HTTP Server 2.4.7 lên đến 2.4.51.
Apache HTTP Server là máy chủ web được sử dụng rộng rãi thứ hai trên Internet sau Nginx. Ước tính nó được sử dụng bởi 31,4% các trang web trên thế giới. Hãng an ninh mạng Netcraft của Anh ước tính có 283 triệu trang web sử dụng Apache HTTP Server vào tháng 12 năm 2021 , chiếm 24% tổng số máy chủ web.
Lỗi nghiêm trọng dường như vẫn chưa bị khai thác trong thực tế nhưng nhóm Apache HTTPD tin rằng nó có tiềm năng bị hacker biến thành công cụ tấn công.
Steffan Eissing của Apache Foundation giải thích: "Một request body độc hại do hacker tạo ra có thể gây ra lỗi tràn bộ đệm trong trình phân tích cú pháp đa phần mod_lua (r: parsebody () được gọi từ Lua scripts)".
Như Netcraft lưu ý, máy chủ Apache HTTP không bị ảnh hưởng trực tiếp bởi thư viện thông báo Log4j vì nó được viết bằng C. Tuy nhiên, ngay cả các máy chủ web được viết bằng ngôn ngữ không phải Java vẫn có thể tích hợp thư viện Log4j dễ bị tấn công. Máy chủ web của IBM, WebSphere, tích hợp Log4j và rất dễ bị tấn công, nhưng Netcraft chỉ tìm thấy 3.778 trang web sử dụng nó.
Apache Software Foundation đã phát hành ba bản cập nhật trong tuần qua do lỗ hổng Log4Shell ảnh hưởng nhiều trong nhánh Log4j phiên bản 2.
Các cơ quan an ninh mạng từ Mỹ, Úc, Canada, New Zealand và Vương quốc Anh hôm qua đã đưa ra hướng dẫn cho các tổ chức để giải quyết lỗi này. Lỗi này dự kiến sẽ mất nhiều tháng để giải quyết vì thư viện Log4j đã được tích hợp như một thành phần trong hàng trăm sản phẩm phần mềm từ các nhà cung cấp lớn, bao gồm IBM, Cisco, VMware, RedHat và Oracle. Thư viện cũng cung cấp các framework quan trọng, chẳng hạn như Apache's Struts2.
Hai lỗ hổng có mã định danh là CVE-2021-44790 và CVE-2021-44224, với điểm CVSS tương ứng là 9,8 (nghiêm trọng) và 8,2 (cao) được hãng xử lý trong phiên bản 2.4.52 của máy chủ Apache HTTP (máy chủ web).
Lỗ hổng máy chủ web Apache đầu tiên là lỗi tràn bộ nhớ ảnh hưởng đến Apache HTTP Server 2.4.51 trở về trước. Cơ quan An ninh mạng và Cơ sở hạ tầng |Hoa Kỳ (CISA) cảnh báo nó "có thể cho phép kẻ tấn công từ xa chiếm quyền kiểm soát một hệ thống bị ảnh hưởng". Lỗ hổng ít nghiêm trọng hơn cho phép giả mạo yêu cầu phía máy chủ trong Apache HTTP Server 2.4.7 lên đến 2.4.51.
Apache HTTP Server là máy chủ web được sử dụng rộng rãi thứ hai trên Internet sau Nginx. Ước tính nó được sử dụng bởi 31,4% các trang web trên thế giới. Hãng an ninh mạng Netcraft của Anh ước tính có 283 triệu trang web sử dụng Apache HTTP Server vào tháng 12 năm 2021 , chiếm 24% tổng số máy chủ web.
Lỗi nghiêm trọng dường như vẫn chưa bị khai thác trong thực tế nhưng nhóm Apache HTTPD tin rằng nó có tiềm năng bị hacker biến thành công cụ tấn công.
Steffan Eissing của Apache Foundation giải thích: "Một request body độc hại do hacker tạo ra có thể gây ra lỗi tràn bộ đệm trong trình phân tích cú pháp đa phần mod_lua (r: parsebody () được gọi từ Lua scripts)".
Như Netcraft lưu ý, máy chủ Apache HTTP không bị ảnh hưởng trực tiếp bởi thư viện thông báo Log4j vì nó được viết bằng C. Tuy nhiên, ngay cả các máy chủ web được viết bằng ngôn ngữ không phải Java vẫn có thể tích hợp thư viện Log4j dễ bị tấn công. Máy chủ web của IBM, WebSphere, tích hợp Log4j và rất dễ bị tấn công, nhưng Netcraft chỉ tìm thấy 3.778 trang web sử dụng nó.
Apache Software Foundation đã phát hành ba bản cập nhật trong tuần qua do lỗ hổng Log4Shell ảnh hưởng nhiều trong nhánh Log4j phiên bản 2.
Các cơ quan an ninh mạng từ Mỹ, Úc, Canada, New Zealand và Vương quốc Anh hôm qua đã đưa ra hướng dẫn cho các tổ chức để giải quyết lỗi này. Lỗi này dự kiến sẽ mất nhiều tháng để giải quyết vì thư viện Log4j đã được tích hợp như một thành phần trong hàng trăm sản phẩm phần mềm từ các nhà cung cấp lớn, bao gồm IBM, Cisco, VMware, RedHat và Oracle. Thư viện cũng cung cấp các framework quan trọng, chẳng hạn như Apache's Struts2.
Nguồn: ZDnet
Chỉnh sửa lần cuối: