Liam Tung er en australsk forretningsteknologijournalist som bor noen for mange svenske mil nord for Stockholm for hans smak. Han tok en bachelorgrad i økonomi og kunst (kulturstudier) ved Sydneys Macquarie University, men hacket seg (uten norrønt eller ondsinnet kode for den saks skyld) seg inn i en karriere som enterprise tech-, sikkerhets- og telekommunikasjonsjournalist hos ZDNet Australia.
Full bio 23. desember 2021 | Emne: Sikkerhet 
Apache Software Foundation har gitt ut en oppdatering for å løse en kritisk feil i sin enormt populære webserver som lar eksterne angripere ta kontroll over et sårbart system.
Stiftelsen har gitt ut versjon 2.4.52 av Apache HTTP Server (webserver) som adresserer to feil sporet som CVE-2021-44790 og CVE-2021-44224, som har respektive CVSS-score på 9.8 (kritisk) og 8.2 (høy) ) av 10 mulige. En poengsum på 9,8 er veldig dårlig, og har de siste ukene bare blitt toppet av Log4j-sårbarheten kjent som Log4Shell, som hadde en alvorlighetsgrad på 10 av 10.
første Apache-nettserverfeil er et minnerelatert bufferoverløp som påvirker Apache HTTP Server 2.4.51 og tidligere. Cybersecurity and Infrastructure Security Agency (CISA) advarer at det “kan tillate en ekstern angriper å ta kontroll over et berørt system”. Den mindre alvorlige feilen tillater forfalskning av serversideforespørsel i Apache HTTP Server 2.4.7 opp til 2.4.51.
SE: En vinnende strategi for cybersikkerhet(ZDNet spesialrapport)
Denne utgivelsen av Apache HTTP Server er den siste allment tilgjengelige utgivelsen av den nye generasjonen 2.4.x grenen av Apache HTTPD fra Apaches 26 år gamle HTTP Server Project, som opprettholder en viktig og moderne åpen kildekode HTTP-server for Unix og Windows-plattformer.
Apache HTTP Server er den nest mest brukte webserveren på internett bak Nginx, ifølge W3Techs, som anslår at den brukes av 31,4 % av verdens nettsteder. Det britiske sikkerhetsfirmaet Netcraft anslår at 283 millioner nettsteder brukte Apache HTTP Server i desember 2021, noe som representerer 24 % av alle webservere.
Den kritiske feilen er tilsynelatende ikke under angrep ennå, men HTTPD-teamet mener den har potensialet til å bli bevæpnet.
“Apache httpd-teamet er ikke klar over en utnyttelse av sårbarheten, selv om det kan være mulig å lage en,” sa Apache HTTPD-teamet.
“En nøye utformet forespørselstekst kan forårsake bufferoverløp i mod_lua flerdelt parser (r:parsebody() kalt fra Lua-skript),” forklarte Apache Foundations Steffan Eissing på en e-postliste.
Som Netcraft bemerker, Apache HTTP Server ble ikke direkte påvirket av det Java-baserte Log4j-feilmeldingsbiblioteket slik det ble skrevet i C. Imidlertid kan selv nettservere skrevet på ikke-Java-språk fortsatt ha integrert det sårbare Log4j-biblioteket i en teknologistabel. IBMs webserver, WebSphere, integrerer Log4j og var sårbar, men Netcraft fant bare 3 778 nettsteder som brukte den.
Apache Software Foundation har gitt ut tre oppdateringer den siste uken i kjølvannet av den utbredte Log4Shell-sårbarheten i Log4j versjon 2-grenen.
Skybersikkerhetsbyråer fra USA, Australia, Canada, New Zealand og Storbritannia ga i går ut veiledning for organisasjoner for å løse feilen. Feilen forventes å ta måneder å løse fordi Log4j-biblioteket har blitt integrert som en komponent i hundrevis av programvareprodukter fra store leverandører, inkludert IBM, Cisco, VMware, RedHat og Oracle. Biblioteket leveres også med viktige rammer, for eksempel Apaches Struts2.
Sikkerhet
Log4j-trussel:10 spørsmål du må stille Apache lanserer ny 2.17.0-oppdatering for Log4j, løser DoS-sårbarhet Politiet finner 225 millioner stjålne passord på en hacket server . Er din en av dem? Hvordan dette selskapet ikke betalte når det ble rammet av løsepengevare De beste VPN-ene for små og hjemmebaserte bedrifter i 2021 Security TV | Databehandling | CXO | Datasentre