Apache, celosvětově rozšířený software webového serveru, se opakovaně stává obětí notoricky známých zranitelností. Díky těmto zranitelnostem je server náchylný k různým formám škodlivých útoků a dalším internetovým podvodům vedoucím ke krádeži a ztrátě informací. Ačkoli Apache pravidelně vydává aktualizace pro své zranitelné verze, následující zranitelnosti Apache si získaly neblahou proslulost pro své potenciální ohrožení uživatelů.
Server Apache OpenMeetings verze 1.0.0 byl shledán zranitelným vůči zranitelnosti SQL Injection (CVE-2017-7681), což jej činí potenciálně nebezpečným pro vyzrazení informací. Ke zneužití zranitelnosti bude útočník potřebovat být přihlášen do systému, například v příkazovém řádku nebo prostřednictvím relace počítače či webového rozhraní. Modifikace některých systémových souborů nebo informací je možná, ale útočník nemá kontrolu nad tím, co může být modifikováno, nebo je rozsah toho, co může útočník ovlivnit, omezený.
OpenMeetings je jeden z nejpopulárnějších softwarů pro virtuální schůzky, široce používaný pro online prezentace, online školení, webové konference a sdílení uživatelské plochy. Jeho rozšířené použití přináší riziko pro strukturu existujícího dotazu a riziko úniku struktury dalších dotazů prováděných aplikací v back-endu.
Okamžitou nápravou je upgrade na Apache OpenMeetings 3.3.0
Pokud hledáte řešení zabezpečení pro své webové stránky (kódované na zakázku nebo CMS), Astra Firewall ochrání vaše webové stránky 24×7 před XSS, LFI, RFI, SQL injection, zlými boty a více než 80 dalšími hrozbami. Vezměte si nyní ukázkovou verzi Astra.
Zranitelnost při obcházení zabezpečení Apache Ranger
Apache Ranger byl vystaven zranitelnosti při obcházení zabezpečení (CVE-2017-7676). Útočníci proto mohou tuto chybu zneužít k obejití určitých bezpečnostních omezení a provedení neoprávněných akcí, což může napomoci dalším útokům. To umožňuje nástroji Policy resource matcher ignorovat znaky za zástupným znakem ‚*‘, což vede k použití postižených zásad na prostředky, na které by neměly být použity.
Apache Ranger je široce používaný framework, který slouží k umožnění, monitorování a správě komplexního zabezpečení dat v rámci platformy Hadoop. Ačkoli je považován za systém s nízkou mírou závažnosti, účinně. Zranitelnost obcházení zabezpečení se týká verzí 0.5.1 až 0.7 nástroje Ranger. Okamžitým nápravným opatřením je upgrade na verzi Apache Ranger 0.7.1, která tento problém opravuje.
Zranitelnost obcházení ověřování serveru Apache HTTP
Zranitelnost obcházení ověřování serveru Apache HTTP CVE-2017-3167 umožňuje útočníkovi obejít mechanismus ověřování a provádět neoprávněné akce, což vede k dalším útokům. Verze, kterých se tato zranitelnost týká, jsou Apache HTTP Server 2.2.0 až 2.2.32 a Apache HTTP Server 2.4.0 až 2.4.25
Zranitelnost vyplývá z nesprávného použití funkce ap_get_basic_auth_pw() serveru Apache HTTP moduly třetích stran mimo fázi ověřování dotčeného softwaru. Namísto toho by moduly třetích stran měly používat funkci ap_get_basic_auth_components().
Zabezpečení zahrnuje aktualizaci na opravenou verzi, síťový přístup pouze pro důvěryhodné uživatele a použití seznamů řízení přístupu (ACL) založených na IP, které umožní přístup k postiženým systémům pouze důvěryhodným systémům.
Také se podívejte na náš podrobný blog Nejkritičtější zranitelnosti Apache
Máte obavy o zabezpečení svých webových stránek před internetovými podvodníky? Obraťte se na sadu Astra Web Security Suite, která vám zajistí nepřetržitou ochranu před XSS, LFI, RFI, SQL injection, zlými roboty a více než 80 dalšími hrozbami.
Vyzkoušejte si nyní demo verzi sady Astra.
.