Apache đã xử lý một số lỗ hổng nghiêm trọng trong HTTP Server

Apache Software Foundation đã phát hành Apache HTTP Server 2.4.52 để xử lý lỗ hổng CVE-2021-44790 (có điểm số mức độ nghiêm trọng CVSS là 9,8) và CVE-2021-44224 (có điểm số mức độ nghiêm trọng CVSS là 8,2). Các lỗ hổng này có thể dẫn đến những cuộc tấn công thực thi mã từ xa.

CVE-2021- 44790 là một lỗi tràn bộ nhớ, ảnh hưởng đến Apache HTTP Server 2.4.51 trở về trước. Theo như cảnh báo của Cơ quan an ninh mạng và hạ tầng (CISA) của Mỹ, nó có thể cho phép kẻ tấn công kiểm soát hệ thống bị ảnh hưởng.

Lỗ hổng thứ hai là CVE-2021-44224, cho phép giả mạo yêu cầu máy chủ trong Apache HTTP Server 2.4.7 đến 2.4.51.

Theo một khuyến nghị cho biết: 'Một URI lừa đảo được gửi tới httpd đã được định cấu hình như một proxy chuyển tiếp có thể gây ra sự cố (truy nhập vào con trỏ NULL) hoặc đối với các cấu hình kết hợp khai báo proxy xuôi và ngược có thể cho phép các yêu cầu được chuyển hướng đến điểm cuối Unix Domain Socket đã khai báo (yêu cầu phía máy chủ giả mạo)'.

Tuy nhiên, nhóm HTTPD của Apache chưa thấy có sự tấn công nào đang khai thác lỗ hổng này, đồng thời cho biết rằng nhóm Apache httpd cũng không biết về cách khai thác lỗ hổng mặc dù họ có thể tạo ra nó.

CISA khuyến nghị người dùng và quản trị viên xem lại thông báo Apache và cập nhật các bản cài đặt của họ càng sớm càng tốt.

Vào tháng 11, Văn phòng Liên bang về Bảo mật Thông tin (BSI) của Đức và Cisco đã cảnh báo các tác nhân đe dọa đang khai thác một lỗ hổng bảo mật yêu cầu phía máy chủ (SSRF) khác là CVE-2021-40438 trong các máy chủ HTTP./.


Theo securityaffairs.co, zdnet.com

TIN LIÊN QUAN

Hưỡng dẫn cài đặt mod_pagespeed cho Apache

TCN giới thiệu một sản phẩm mới của Google được gọi là module mod_pagespeed cho Apache làm cho các trang web tải nhanh hơn.

Lỗi Apache không chạy được .htaccess

Khắc phục sự cố Apache không nhận được .htaccess trên VPS

Môtô thể thao TVS Apache 310 RR ra mắt, dùng chung động cơ với BMW G 310 R

Hãng xe TVS vừa cho ra mắt mẫu xe Apache 310 RR đời 2021 với hai phiên bản tùy chọn bao gồm Dynamic và Race. Theo thông tin, Apache 310 RR dùng chung động cơ xy-lanh đơn dung tích 312 phân khối với mẫu BMW G 310 R.Khối động cơ này sản sinh công

TVS Akula 310(TVS Apache RR 310S)ra mắt trước tháng 3 năm 2018

Phiên bản nâng cấp từ TVS Akula 310, TVS Apache RR 310S sẽ được ra mắt vào tháng 3 năm 2018, theo một báo cáo của Bikeadvice.in. Trước đó mẫu xe TVS Akula 310 đã được giới thiệu lần đầu tại Triển lãm mô tô năm 2016. Phiên bản TVS Akula 310, được

Bản sửa lỗi Log4Shell có thể dẫn đến các cuộc tấn công DoS

Không chỉ là việc lỗ hổng nghiêm trọng trong Apache Log4j vẫn đang phổ biến, một bản vá lỗi nhanh cho Log4Shell cũng lại đang có những lỗ hổng.

Apache Log4j: lỗ hổng bảo mật nghiêm trọng được cảnh báo

Cục An toàn thông tin ATTT, Bộ TTTT vừa có thông báo cảnh báo về lỗ hổng bảo mật ảnh hưởng nghiêm trọng trong Apache Log4j.

Apache OpenOffice 4: Lựa chọn thay thế Microsoft Office

Đã bao giờ bạn chán cảnh sử dụng Office không bản quyền? Hay dung lượng ổ cứng quá nhỏ để chứa toàn bộ ứng dụng văn phòng của Microsoft Office?...

TVS Apache RTR 165 RP - Sản xuất giới hạn 200 chiếc và có giá bán siêu rẻ!

TVS Apache RTR 165 RP là mẫu xe chỉ mới được tung ra thị trường nhưng đã chính thức hết sạch do TVS Apache RTR 165 RP chỉ xuất giới hạn với số lượng...

THỦ THUẬT HAY

Cách đăng ký nhận lương hưu tại nhà và những thay đổi từ 01/01/2022

Từ ngày 1/1/2022, điều chỉnh tăng thêm 7,4% trên mức lương hưu theo Nghị định 108/2021/NĐ-CP của Chính phủ. Bạn xem để biết những ai sẽ được tăng lương hưu và cách đăng ký nhận lương hưu tại nhà trên điện thoại và máy tính...

Hướng dẫn cách bảo mật tài khoản Zalo vô cùng đơn giản

Các ứng dụng nhắn tin miễn phí như Zalo, Viber, Whatsapp đều có tính năng tìm người khác thông qua số điện thoại. Một khi có số thì người khác dễ dàng thấy được thông tin của người đó, cũng như truy cập vào một số dữ liệu nhất định. Đây vốn dĩ là

Hướng dẫn cách đặt vé xem phim CGV trên điện thoại 2021

Đặt vé xem phim trên app CGV sẽ giúp bạn dễ dàng quản lý vé xem phim và tích điểm để được tặng nước, bỏng ngô, cùng rất nhiều món quà hấp dẫn cho thành viên tích cực. Đặc biệt hơn chương trình khuyến mại U22 dành riêng cho học sinh - sinh viên của

Mời bạn trải nghiệm Google Pixel O Launcher trên thiết bị Android

Nếu đang sở hữu một smartphone Android 6.0.1 Marshmallow trở lên thì bạn có thể thử Google Pixel O launcher ngay bây giờ thông qua file APK được trích xuất bởi những thành viên của diễn đàn XDA Developers.

Cách giúp màn hình tự động mở sáng khi có thông báo gửi đến

Nhiều thiết bị Android hiện nay không có chức năng mở sáng màn hình khi có thông báo mới mà chỉ có thông báo bằng đèn LED đi kèm máy. Điều này khá là bất tiện nếu như bạn đang làm việc hoặc không rảnh tay để sử dụng điện thoại và chỉ cần xem qua

ĐÁNH GIÁ NHANH

Đánh giá nhanh Toshiba X10: siêu nhỏ gọn, hiệu năng tốt, giá 5,4 triệu

Toshiba SSD X10 là sản phẩm chạy theo xu hướng ổ cứng di động nhỏ gọn nhưng tốc độ cao đang ngày càng trở nên phổ biến.

Trải nghiệm nhanh camera Nokia 8: tác dụng của ống ZEISS

Lumia từng là một tượng đài về máy ảnh điện thoại. Nhưng tượng đài đó đã ít nhiều bị mờ phai sau bao cuộc bể dâu. Mình thì chưa được dùng qua nhiều dòng máy Lumia ngày trước nên cũng có thể xem như người mới đến với Nokia.

Lenovo Z5s chính thức ra mắt: Màn hình giọt nước, chip SD 710, 3 camera sau, giá 4.7 triệu

Không giống như Samsung Galaxy A8s và Huawei Nova 4, Lenovo Z5s sở hữu màn hình “giọt nước” để chứa camera selfie của máy.

}