Apache korjasi aktiivisesti hyväksikäytetyn nollapäivähaavoittuvuuden

06.10.2021

Haavoittuvuutta hyväksikäyttämällä ulkopuolinen taho voi lukea mielivaltaisesti www-palvelimella sijaitsevia tiedostoja mistä tahansa hakemistosta. Haavoittuvuus vaikuttaa vain Apache HTTP Server -palvelinohjelmiston versioon 2.4.49.

Tietyillä ehdoilla haavoittuvuus mahdollistaa myös komentojen mielivaltaisen suorittamisen. Tämä on mahdollista, mikäli haavoittuvalla serverillä on käytössä mod-cgi -moduuli ja sen oletuskonfiguraatiosta puuttuu kohta “Require all denied”. Lisätietoja voit lukea Bleeping Computerin artikkelista (Ulkoinen linkki) (ulkoinen linkki).

Lähde: TRAFICOM Liikenne- ja viestintävirasto | Kyberturvallisuuskeskus