Liam Tung er en australsk forretningsteknologijournalist, der bor et par for mange svenske miles nord for Stockholm til hans smag. Han tog en bachelorgrad i økonomi og kunst (kulturstudier) ved Sydneys Macquarie University, men hackede sig (uden nordisk eller ondsindet kode for den sags skyld) sig ind i en karriere som enterprise tech-, sikkerheds- og telekommunikationsjournalist hos ZDNet Australia.
Fuld bio den 23. december 2021 | Emne: Sikkerhed 
Apache Software Foundation har udgivet en opdatering for at løse en kritisk fejl i dens enormt populære webserver, der giver fjernangribere mulighed for at tage kontrol over et sårbart system.
Fonden har frigivet version 2.4.52 af Apache HTTP-serveren (webserver), der adresserer to fejl, sporet som CVE-2021-44790 og CVE-2021-44224, som har respektive CVSS-sværhedsscore på 9,8 (kritisk) og 8,2 (høj) ) ud af 10 mulige. En score på 9,8 er meget dårlig, og i de seneste uger er den kun blevet toppet af Log4j-sårbarheden kendt som Log4Shell, som havde en alvorlighedsscore på 10 ud af 10.
første Apache-webserverfejl er et hukommelsesrelateret bufferoverløb, der påvirker Apache HTTP Server 2.4.51 og tidligere. Cybersecurity and Infrastructure Security Agency (CISA) advarer om, at det “kan tillade en fjernangriber at tage kontrol over et berørt system”. Den mindre alvorlige fejl giver mulighed for forfalskning af serversideanmodninger i Apache HTTP Server 2.4.7 op til 2.4.51.
SE: En vindende strategi for cybersikkerhed(ZDNet specialrapport)
Denne udgivelse af Apache HTTP Server er den seneste almindeligt tilgængelige udgivelse af den nye generation 2.4.x gren af Apache HTTPD fra Apaches 26 år gamle HTTP Server Project, som vedligeholder en vigtig og moderne open source HTTP-server til Unix- og Windows-platforme.
Apache HTTP Server er den næstmest udbredte webserver på internettet bag Nginx, ifølge W3Techs, som anslår, at den bruges af 31,4 % af verdens websteder. Det britiske sikkerhedsfirma Netcraft anslår, at 283 millioner websteder brugte Apache HTTP Server i december 2021, hvilket repræsenterer 24 % af alle webservere.
Den kritiske fejl er tilsyneladende ikke under angreb endnu, men HTTPD-teamet mener, at den har potentialet til at blive bevæbnet.
“Apache httpd-teamet er ikke klar over en udnyttelse af sårbarheden, selvom det måske er muligt at lave en,” sagde Apache HTTPD-teamet.
“En omhyggeligt udformet anmodningstekst kan forårsage et bufferoverløb i mod_lua multipart-parseren (r:parsebody() kaldet fra Lua-scripts),” forklarede Apache Foundations Steffan Eissing på en mailingliste.
Som Netcraft bemærker, Apache HTTP Server var ikke direkte påvirket af det Java-baserede Log4j-fejlmeddelelsesbibliotek, som det blev skrevet i C. Selv webservere skrevet på ikke-Java-sprog kan dog stadig have integreret det sårbare Log4j-bibliotek i en teknologistak. IBMs webserver, WebSphere, integrerer Log4j og var sårbar, men Netcraft fandt kun 3.778 websteder, der brugte den.
Apache Software Foundation har frigivet tre opdateringer i den seneste uge i kølvandet på den udbredte Log4Shell-sårbarhed i Log4j version 2-grenen.
Cybersikkerhedsbureauer fra USA, Australien, Canada, New Zealand og Det Forenede Kongerige udgav i går en vejledning til organisationer, der skal løse fejlen. Fejlen forventes at tage måneder at løse, fordi Log4j-biblioteket er blevet integreret som en komponent i hundredvis af softwareprodukter fra store leverandører, herunder IBM, Cisco, VMware, RedHat og Oracle. Biblioteket leveres også med vigtige rammer, såsom Apaches Struts2.
Sikkerhed
Log4j-trussel:10 spørgsmål, du skal stille Apache frigiver ny 2.17.0-patch til Log4j, løser DoS-sårbarhed Politiet finder 225 millioner stjålne adgangskoder på en hacket server . Er din en af dem? Hvordan dette firma ikke betalte, da det blev ramt af ransomware De bedste VPN'er til små og hjemmebaserede virksomheder i 2021 Security TV | Datastyring | CXO | Datacentre