Apache HTTP Server Project patcht actief misbruikte zero day

Apache

De ontwikkelaars achter het Apache HTTP Server Project verzoeken gebruikers om dringend de nieuw uitgebrachte patch te installeren. De patch lost een zero day-kwetsbaarheid op die momenteel wordt misbruikt. 

Apache HTTP Server is een populair opensource-project dat is gericht op het ontwikkelen van HTTP server software die geschikt is voor besturingssystemen waaronder UNIX en Windows. 

Een recente update van Apache HTTP Server (versie 2.4.49) loste een aantal beveiligingsfouten op. Tegelijkertijd bracht de update ook een nieuw probleem met zich mee: een path traversal en file disclosure fout die bekend staat onder de naam CVE-2021-41773. De fout werd ontdekt door Ash Daulton van het cPanel beveiligingsteam. 

De kwetsbaarheid werd voor het eerst ontdekt op 29 september. De oplossing voor de fout (Apache HTTP Server versie 2.4.50) werd op 4 oktober uitgebracht. CVE-2021-41773 is alleen aanwezig in Apache HTTP Server versie 2.4.49. Oudere versies hebben geen last van het beveiligingsrisico. 

Meer kwetsbaarheden in versie 2.4.49

Naast de path traversal kwetsbaarheid, lost de nieuwste patch van Apache HTTP Server ook een andere kwetsbaarheid op, bekend onder de naam CVE-2021-41524. De kwetsbaarheid kan worden misbruikt voor een DoS-aanval. Ook deze fout werd toegevoegd met de 2.4.49 versie. Volgens het team van Apache wordt de fout voor zover bekend niet misbruikt. 

Aangezien het om een nieuwe versie van Apache HTTP Web Server gaat, lopen veel servers gevaar. Volgens onderzoekers van Sonatype is de kwetsbare versie geïnstalleerd op ongeveer 112.000 Apache-servers. Een aanzienlijk deel van deze servers bevindt zich in de Verenigde Staten. 

Maak je gebruik van een recente versie van Apache HTTP Server? Dan is het slim om de nieuwste patch meteen te installeren.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.
terug naar home