نقصها مجبور به انتشار بهروزرسانی شدند
در اینجا ما به نقص هایی که مجبور به انتشار یک به روز رسانی فوری با پچ شده اند اشاره کرده ایم:
- شناسه CVE: CVE-2021-44790
- توضیحات: سرریز بافر احتمالی هنگام تجزیه محتوای چند قسمتی در mod_lua سرور HTTP Apache 2.4.51 و نسخههای قبلی.
- شدت: بحرانی
- CVSS: 9.8
- شناسه CVE: CVE-2021-44224
- توضیحات: عدم ارجاع NULL یا SSRF در پیکربندیهای پروکسی ارسال در Apache HTTP Server 2.4.51 و نسخههای قبلی.
- شدت: زیاد
- CVSS: 8.2
در حالی که آخرین نسخه GA از نسل جدید شاخه 2.4.x Apache HTTPD نسخه جدید منتشر شده است که Apache HTTP Server 2.4.52 است و آپاچی به همه کاربران توصیه کرده است که بلافاصله تمام نسخه های قبلی را به روز کنند.
در اینجا چیزی است که بنیاد اعلام کرد: یک URI ساختهشده ارسال شده به httpd که بهعنوان یک پروکسی فوروارد پیکربندی شده است (ProxyRequests روشن) میتواند باعث خرابی (عدم ارجاع نشانگر NULL) شود یا برای پیکربندیهایی که اعلانهای پراکسی رو به جلو و معکوس را با هم ترکیب میکنند، میتواند اجازه دهد درخواستها به یک نقطه پایانی سوکت دامنه اعلامشده یونیکس هدایت شوند. (جعل درخواست سمت سرور).
علاوه بر این، در فهرست آسیبپذیریهای شناختهشده مورد سوء استفاده، این نقصهای امنیتی توسط کارشناسان امنیت سایبری شناسایی میشوند و همه اینها توسط آژانس پاسخگویی امنیتی دولت ایالات متحده CISA نگهداری میشود.