Apache Software Foundation har släppt en ny uppdatering för att åtgärda två brister som en fjärrangripare kan utnyttja för att ta kontroll över ett sårbart system som körs på dess populära webbserver.
Bristerna, spårade som CVE-2021-44790 och CVE-2021-44224, har CVSS-poäng på 9.8 respektive 8.2. Även om Apaches allvarligaste webbserverfel bedöms som kritisk, rankas den fortfarande under Log4Shell, som har en CVSS-poäng på 10 av 10.
Det första felet är ett buffertspill som påverkar Apache HTTP Server 2.4.5.1 och tidigare, medan det andra felet kan användas för att utföra server-side request förfalskning på Apache HTTP Server 2.47 till 2.4.51.
Att åtgärda dessa två brister i Apache-webbservern bör vara en högsta prioritet för webbplatsägare, eftersom populariteten för Apache HTTP-servern runt om i världen gör sårbara system till ett främsta mål för hackare.
Potential att bli militariserad
I en ny varning som skickats av Cybersecurity and Infrastructure Security Agency (CISA) varnar den amerikanska statliga myndigheten för att buffertspillfelet i Apache-webbservern kan "tillåta en fjärrangripare att ta kontroll över ett påverkat system".
Även om denna kritiska bugg har använts i alla exploateringar i det vilda, tror Apache HTTPD-teamet att en angripare kan beväpna den.
Av denna anledning bör organisationer och individer som kör Apache HTTP Server granska detta meddelande och uppdatera programvaran till den senaste versionen så snart som möjligt för att skydda mot eventuella attacker som utnyttjar denna kritiska sårbarhet.
Vi samlar också ihop den bästa mjukvaran för slutpunktsskydd och den bästa brandväggen.
Genom ZDNet