Yayasan Perangkat Lunak Apache (terbuka di tab baru) telah mengeluarkan pembaruan baru untuk mengatasi dua kelemahan yang dapat dimanfaatkan oleh penyerang jarak jauh untuk mengendalikan sistem rentan yang berjalan di server web populernya.
Kekurangannya, dilacak sebagai CVE-2021-44790 (terbuka di tab baru) dan CVE-2021-44224 (terbuka di tab baru), memiliki skor CVSS masing-masing 9,8 dan 8,2. Meskipun kelemahan yang lebih parah di server web Apache memiliki peringkat kritis, peringkatnya masih di bawah Log4Shell (terbuka di tab baru) yang memiliki skor CVSS 10 dari 10.
Cacat pertama adalah buffer overflow terkait memori yang memengaruhi Apache HTTP Server 2.4.5.1 dan versi sebelumnya, sedangkan cacat kedua dapat digunakan untuk mencapai pemalsuan permintaan sisi server di Apache HTTP Server 2.47 hingga 2.4.51.
Menambal kedua kelemahan ini di server web Apache harus menjadi prioritas utama bagi pemilik situs karena fakta bahwa popularitas Apache HTTP Server di seluruh dunia membuat sistem yang rentan menjadi target utama peretas.
Berpotensi untuk dijadikan senjata
Dalam peringatan baru (terbuka di tab baru) dikirim oleh Cybersecurity and Infrastructure Security Agency (CISA (terbuka di tab baru)), badan pemerintah AS memperingatkan bahwa cacat buffer overflow di server Web Apache dapat “memungkinkan penyerang jarak jauh mengambil kendali sistem yang terpengaruh”.
Meskipun bug kritis ini telah digunakan dalam eksploitasi apa pun di alam liar, tim HTTPD Apache (terbuka di tab baru) percaya bahwa itu bisa dipersenjatai oleh penyerang.
Untuk alasan ini, organisasi dan individu yang menjalankan Apache HTTP Server harus melihat pengumuman ini (terbuka di tab baru) dan perbarui perangkat lunak ke versi terbaru sesegera mungkin untuk melindungi diri dari serangan potensial yang mengeksploitasi kelemahan kritis ini.
Kami juga telah mengumpulkan perangkat lunak perlindungan titik akhir terbaik (terbuka di tab baru) dan firewall terbaik (terbuka di tab baru)
Melalui ZDNet (terbuka di tab baru)