Apache je pronašao kritične greške na HTTPD web serveru

Apache, čije je ime bilo u vestima poslednje dve nedelje zbog ozbiljne ranjivosti u logging biblioteci, izdao je još jedno ažuriranje. Ovog puta, to nema nikakve veze sa Log4j ranjivošću (nazvanom Log4Shell).

Apache je objavio zakrpu koja rešava dve kritične greške koje utiču na HTTPD server. Prema kompaniji za sajber bezbednost Sophos, koja je objavila detaljan izveštaj o ovoj temi, Apache-ov HTTPD je veliki i sposoban server sa bezbroj kombinacija modula i opcija, što ga čini i moćnim i opasnim u to vreme.

Srećom, HTTPD kao softver otvorenog koda je konstantno predmet rada programera, koji stalno izbacuju redovna ažuriranja i donose nove funkcije zajedno sa kritičnim bezbednosnim zakrpama.

Dve ranjivosti koje su ovog puta ispravljene:

CVE-2021-44790: Moguć buffer overflow prilikom parsiranja višedelnog sadržaja u mod_lua Apache HTTP servera 2.4.51
CVE-2021-44224: Moguća NULL dereferenca ili SSRF u konfiguracijama proksi servera za prosleđivanje u Apache HTTP serveru 2.4.51 i starijim.

Ove greške možda neće biti otkrivene u vašoj konfiguraciji jer su deo opcionih modula za vreme izvršavanja koje možda zapravo ne koristite. Ipak, ako koristite ove module, svesni toga ili ne, mogli biste biti u opasnosti od obaranja servera, curenja podataka ili čak daljinskog izvršavanja koda.

Zato proverite da li ja vaš sistem već primenio navedene bezbednosne zakrpe. Ako nije, obavezno ih primenite kako biste rešili pomenute kritične greške i izbegli eventualne probleme sa vašim web serverom.