آسیب‌پذیری بحرانی در Apache HTTP Server

به گزارش کارگروه امنیت سایبربان ؛ این آسیب‌پذیری مربوط به سرریز بافر هنگام تجزیه  محتوای چندبخشی در mod_lua از Apache HTTP Server نسخه 2.4.51 و قبل‌تر می‌باشد.
آسیب‌پذیری مذکور دارای بردار حمله CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H می‌باشد؛ یعنی بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و سوء‌استفاده از آن نیز نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی  نیاز  نیست(AC:L). برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز ندارد (UI:N). سوء‌استفاده از این آسیب‌پذیری بر منابع مدیریت‌شده توسط سایر مراجع امنیتی تأثیر نمی‌گذارد (S:U) و  با سوء‌استفاده از آن، هر سه ضلع امنیت به میزان بسیار زیادی تحت‌تأثیر قرار می‌گیرند (C:H و I:H و A:N).

محصولات تحت‌تأثیر
نسخه 2.4.51 و قبل‌تر Apache HTTP Server تحت‌تأثیر این آسیب‌پذیری قرار دارند:
1. پکیج app-admin/apache-tools 
2. پکیجwww-servers/apache   

توصیه‌های امنیتی
آسیب‌پذیری مذکور در نسخه  2.4.52 و نسخه‌های بعدتر  Apache HTTP Serverرفع شده است و به کاربران توصیه می‌شود در اسرع وقت نسبت به ارتقاء این وب سرور و پکیج‌های آن اقدام کنند.
 منابع خبر

[1] https://httpd.apache.org/security/vulnerabilities_24.html
[2] https://nvd.nist.gov/vuln/detail/CVE-2021-44790
[3] https://www.debian.org/security/2022/dsa-5035
[4] https://security.netapp.com/advisory/ntap-20211224-0001/
[5] https://security.gentoo.org/glsa/202208-20