Tặng bộ plugin WordPress bản quyền trị giá $900 Nhận ngay
Bảo mật

Apache cập nhật bản vá khẩn cấp cho lỗ hổng Patch Traversal

author Đặng Hoài Đức - 2021-10-08 08:45:26 (GMT+7)

Apache Software Foundation vừa phát hành phiên bản Apache HTTP Web Server 2.4.51, sau khi họ phát hiện bản cập nhật trước đó đã không sửa chữa chính xác lỗ hổng bảo mật Patch Traversal.

Apache HTTP Server là một máy chủ web đa nền tảng, mã nguồn mở, đang chiếm 25% thị phần web server trên toàn thế giới.

Vào thứ ba vừa rồi, Apache đã phát hành phiên bản HTTP Web Server 2.4.50 để sửa một lỗ hổng bị khai thác trong phiên bản 2.4.49 với mã định danh là CVE-2021-41773. Lỗ hổng này cho phép các hacker xem nội dung của các tệp được lưu trữ trên một máy chủ và thực thi lệnh từ xa.

Công cụ Shodan đã tiết lộ hơn 112.000 máy chủ Apache với phiên bản HTTP Web Server 2.4.49 có lỗ hổng và tiếp xúc với mạng Internet, cung cấp cho các hacker những mục tiêu tấn công tiềm năng. 

Bản cập nhật trước đó chưa hoàn thiện


Apache đã phát hành HTTP Web Server phiên bản 2.4.51 sau khi phát hiện rằng bản cập nhật trước đó chưa hoàn thiện đối với lỗ hổng Patch Traversal - CVE-2021-41773.

Apache thông báo rằng: "Chúng tôi nhận thấy rằng bản cập nhật trước đó cho lỗ hổng CVE-2021-41773 là không đủ. Hacker có thể sử dụng một cuộc tấn công Patch Traversal để chỉnh sửa URL tới các tệp bên ngoài thư mục được cấu hình bởi các cấu hình chỉ định alias".

"Nếu các tệp bên ngoài các thư mục này không được bảo vệ bằng cấu hình chỉ định "Require all denied", thì các tấn công có thể khai thác thành công."

Vì vậy, quản trị viên cần nâng cấp Apache Web Server lên phiên bản 2.4.51 mới có thể loại bỏ hoàn toàn nguy cơ bị tấn công.

Chia sẻ bài viết này
Nhận tin nóng liên quan đến Bảo mật bằng cách
Subscribe Kênh Telegram Tin công nghệ

Bài viết liên quan

BẢO MẬT
Tổng hợp các lỗ hổng bảo mật nguy hiểm được phát hiện trong năm 2021
author Đặng Hoài Đức 31 Tháng mười hai, 2021

BẢO MẬT
Hacker sử dụng rootkit HP iLO để xóa dữ liệu các máy chủ
author Đặng Hoài Đức 30 Tháng mười hai, 2021

BẢO MẬT
Các hacker Log4j chuyển sang khai thác tiền điện tử Monero
author Đặng Hoài Đức 17 Tháng mười hai, 2021

tin.123host.vn24h新闻

Nơi cập nhật tin tức mới nhất dành cho SysAdmin.

Xem thêm

Liên hệ chúng tôi