พบช่องโหว่บน Apache HTTP Server มีการใช้โจมตีจริงแล้วแนะผู้ใช้เร่งอัปเดต

The Apache Software Foundation ได้ออกแพตช์ 2 รายการ ให้ Apache HTTP Server ซอฟต์แวร์โอเพ่นซอร์สยอดนิยมที่มักใช้กันในการให้บริการเว็บ โดยพบการใช้โจมตีจริงแล้ว

CVE-2021-41773 เป็นช่องโหว่ Path Traversal ที่เกิดขึ้นกับผู้ใช้งาน Apache HTTP Server เวอร์ชัน 2.4.49 และปิดพารามิเตอร์ ‘require all denied’ เอาไว้เท่านั้น ซึ่งเป็นค่า Default ทั้งนี้พบการใช้งานโจมตีจริงแล้ว ที่หากคนร้ายทำได้สำเร็จอาจนำไปสู่การเข้าถึงข้อมูลที่ไม่สมควรได้ ด้วยเหตุนี้จึงแนะนำให้ผู้ใช้งานเร่งอัปเดตครับ โดยจากการค้นหาผ่านแพลตฟอร์ม Shodan พบ Apache 2.4.49 นับแสนตัวที่ออนไลน์

CVE-2021-41524 เป็นช่องโหว่อีกรายการหนึ่งในการแพตช์ของ Apache 2.4.50 โดยเป็นเรื่องของ null pointer dereference ระหว่างการประมวลผล HTTP/2 Request ที่อาจนำไปสู่การโจมตีที่ส่งผลให้เกิด DoS

ที่มา : https://www.bleepingcomputer.com/news/security/apache-fixes-actively-exploited-zero-day-vulnerability-patch-now/