Apache verhelpt meerdere kwetsbaarheden in HTTP Server
De Apache Software Foundation heeft meerdere kwetsbaarheden in HTTP Server verholpen waardoor het in het ergste geval mogelijk is om kwetsbare webservers op afstand over te nemen. De twee beveiligingslekken, aangeduid als CVE-2021-44224 en CVE-2021-44790, kunnen leiden tot een crash van de server, Server Side Request Forgery en een buffer overflow. Hiervoor zou een aanvaller een speciaal geprepareerde URI of request body moeten versturen.
Volgens het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) kan een remote aanvaller via de beveiligingslekken kwetsbare servers op afstand overnemen. De kwetsbaarheden zijn aanwezig in Apache HTTP Server 2.4.51 en eerder. In het geval van CVE-2021-44790, het beveiligingslek dat tot een buffer overflow kan leiden, is er voor zover bekend nog geen exploit beschikbaar. Apache adviseert beheerders om te updaten naar Apache HTTP Server 2.4.52.
Shodan.io en gij zult vele kwetsbaarheden ontwaren. Spoitus.com een vraagbaak.
Header security, CSP, is er maar steeds te weinig van en vaak veel te laat geimplementeerd.
Gehackte servers die via redirects de boel besmetten met adware en malware. Eindeloos.
PHP-gebaseerd CMS met steeds weer onveilige plug-ins. Duizenden en duizenden gevallen.
Leuke extensies om in de developer console te checken weggejorist door Google of de "diensten",
zoals Tracker SSL en sommige userscripts in Tampermonkey. Extensie en api-restricties,
vanwege de diverse tracking- en monitor-behoeften van Big Tech en de Forces that Be,
hopend dat blokkeer-ontwerpers e.d. de handdoek in de ring zullen gooien.
Al veertien jaar in de website security en aan het error-hunten. Dweilen met alle kranen open, lieve mensen.
En niemand doet iets om het maar eens goed aan te kunnen pakken.
Het lijkt wel of onveilig meer geld in het laatje brengt. Tenminste dat denk ik wel eens zo de laatste tijd.
Ben ik nu gek of hoe zit het?
luntrus
Wat een onzin, een leuke meid in een minirok vraagt er zeker ook om om verkracht te worden?
Ook om canaries in de kernel kun je heenwerken.
Ja, veel narigheid is te voorkomen, maar een Buffer overflow voorkomen lijkt me knap. De gevolgen zijn misschien minder groot dan wanneer SELinux uit staat, maar in de (standaard) targeted mode kun je heus nog wel enigszins misbruik maken van een probleem als dit.
Wat een onzin, een leuke meid in een minirok vraagt er zeker ook om om verkracht te worden?
Beetje rare vergelijking.
maareh. ja. die vraagt daar om, maar alleen als ze eerst opzoekt waar de kans het grootst is dat het gebeurt (in een donker ongepatched steegje) en dat ze daar dan dag en nacht bivakkeert (24/7 always-on) en zodra het gebeurt het niet merkt (geen alerting) en er verder ook niks om geeft (geen management belang)
Maar ja, ben je wel gehacked als je de deur wagenwijd open laat staan, of alleen heeeel erg gastvrij?
Gehacked worden is geen keuze, maar er niet op voorbereid zijn is wel een keuze.
de open-source gemeenschap zou toch beter rekening kunnen gaan houden met dit soort release momenten.
Commerciële bedrijven releasen niet voor niets vaak op dinsdagen hun software.
Desnoods op dinsdag als je donateur bent en dan op donderdag als je dat niet wilt. Hebben ze meteen hun budget weer rond om te kunnen voortbestaan.
Shodan.io en gij zult vele kwetsbaarheden ontwaren. Spoitus.com een vraagbaak.
Header security, CSP, is er maar steeds te weinig van en vaak veel te laat geimplementeerd.
Gehackte servers die via redirects de boel besmetten met adware en malware. Eindeloos.
PHP-gebaseerd CMS met steeds weer onveilige plug-ins. Duizenden en duizenden gevallen.
Leuke extensies om in de developer console te checken weggejorist door Google of de "diensten",
zoals Tracker SSL en sommige userscripts in Tampermonkey. Extensie en api-restricties,
vanwege de diverse tracking- en monitor-behoeften van Big Tech en de Forces that Be,
hopend dat blokkeer-ontwerpers e.d. de handdoek in de ring zullen gooien.
Al veertien jaar in de website security en aan het error-hunten. Dweilen met alle kranen open, lieve mensen.
En niemand doet iets om het maar eens goed aan te kunnen pakken.
Het lijkt wel of onveilig meer geld in het laatje brengt. Tenminste dat denk ik wel eens zo de laatste tijd.
Ben ik nu gek of hoe zit het?
luntrus
Ja, veel narigheid is te voorkomen, maar een Buffer overflow voorkomen lijkt me knap. De gevolgen zijn misschien minder groot dan wanneer SELinux uit staat, maar in de (standaard) targeted mode kun je heus nog wel enigszins misbruik maken van een probleem als dit.
de open-source gemeenschap zou toch beter rekening kunnen gaan houden met dit soort release momenten.
Commerciële bedrijven releasen niet voor niets vaak op dinsdagen hun software.
Desnoods op dinsdag als je donateur bent en dan op donderdag als je dat niet wilt. Hebben ze meteen hun budget weer rond om te kunnen voortbestaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
