idNSA.id - Apache telah mengeluarkan patch terbaru untuk mengatasi dua kerentanan keamanan, termasuk jalur traversal dan cacat file ekspose di server HTTP-nya yang katanya sedang dieksploitasi secara aktif dari luar.
Cacat ini disebut sebagai CVE-2021-41773 , CVE-2021-41773 hanya memengaruhi server HTTP Apache versi 2.4.49. Ash Daulton dan Tim Keamanan cPanel telah dikreditkan dengan menemukan dan melaporkan masalah pada 29 September 2021.
Telah diperbaiki oleh Apache dibagian kerentanan dereferensi penunjuk nol yang diamati selama pemrosesan permintaan HTTP/2 ( CVE-2021-41524 ), sehingga memungkinkan musuh melakukan serangan penolakan layanan (DoS) di server. Perusahaan nirlaba tersebut mengatakan kelemahan tersebut diperkenalkan pada versi 2.4.49.
Pengguna Apache sangat disarankan untuk melakukan update patch sesegera mungkin untuk mengatasi kerentanan jalur traversal dan mengurangi risiko apa pun yang terkait dengan eksploitasi aktif kelemahan tersebut.
Pembaruan: Jalur Lintasan Zero-Day di Apache Mengarah ke Serangan RCE
Cacat pada zero-day server Apache HTTP yang dieksploitasi secara aktif jauh lebih kritis daripada yang diperkirakan sebelumnya, dengan eksploitasi proof-of-concept (PoC) baru yang menunjukkan bahwa kerentanan melampaui jalur traversal untuk melengkapi penyerang dengan kemampuan eksekusi kode jarak jauh (RCE). Peneliti keamanan Hacker Fantastic, di Twitter , mencatat bahwa kerentanan "sebenarnya juga RCE yang menyediakan mod-cgi yang diaktifkan."
