Apache ออกแพ็ตช์ใหม่มาอุดช่องโหว่ Zero-day แล้ว

Apache Software Foundation ได้ออกตัวอัปเดตด้านความปลอดภัยเพิ่มเติมสำหรับตัวเว็บเซิร์ฟเวอร์ชื่อดังของตัวเอง เพื่อแก้ตัวหลังจากแพ็ตช์ที่เคยปล่อยเมื่อต้นสัปดาห์ก่อนถูกมองว่า “ยังแก้ไม่สะเด็ดน้ำ” สำหรับการแก้ปัญหาช่องโหว่ที่กำลังระบาดอยู่ตอนนี้

โดยช่องโหว่ดังกล่าวอยู่ภายใต้รหัส CVE-2021-42013 พัฒนาขึ้นจากบนช่องโหว่ CVE-2021-41773 อีกทอดหนึ่ง ที่เป็นบั๊กเกี่ยวกับพาธที่เปิดให้เข้าถึงและเรียกดูไฟล์ที่เก็บไว้บนเซิร์ฟเวอร์เหยื่อได้ กระทบกับเว็บเซิร์ฟเวอร์ของ Apache เวอร์ชั่น 2.4.49

ซึ่งหลังจากมีการออกตัวแก้ไขในเวอร์ชั่น 2.4.50 ก่อนหน้านั้น กลับกลายเป็นว่าเกิดช่องโหว่ที่สามารถทำให้รันโค้ดจากระยะไกลในกรณีที่มีการโหลดโมดูล “mod_cgi” โดยไม่ได้มีการตั้งค่า “require all denied” ไว้ก่อน จึงเป็นสาเหตุทำให้ Apache ต้องรีบออกตัวอัพเดทใหม่ฉุกเฉินอีกครั้ง

ทางบริษัทระบุว่า “เนื่องจากเราพบว่าตัวแก้ไขบั๊ก CVE-2021-41773 บน Apache HTTP Server 2.4.50 ยังไม่สามารถป้องกันการโจมตีได้ดีพอ ผู้โจมตียังสามารถใช้เทคนิค Path Tranversal ในการจับคู่ URL กับไฟล์ที่อยู่ภายนอกไดเรกทอรีที่ตั้งค่า Alias-like ได้”

ที่มา : THN

from:https://www.enterpriseitpro.net/apache-software-foundation-patch/