The Apache Software Foundation ໄດ້ອອກແພັດ (Patch) 2 ລາຍການໃຫ້ Apache HTTP Server ຊອບແວ open source ທີ່ນິຍົມໃຊ້ໃນການໃຫ້ບໍລິການເວັບໄຊ ໂດຍພົບການໃຊ້ໂຈມຕີແລ້ວ.

The Apache Software Foundation ໄດ້ອອກແພັດ (Patch) 2 ລາຍການໃຫ້ Apache HTTP Server ຊອບແວ open source ທີ່ນິຍົມໃຊ້ໃນການໃຫ້ບໍລິການເວັບໄຊ ໂດຍພົບການໃຊ້ໂຈມຕີແລ້ວ.

CVE-2021-41773 ເປັນຊ່ອງໂຫວ່ Path Traversal ທີ່ເກີດຂື້ນກັບຜູ້ໃຊ້ງານ Apache HTTP Server ເວີຊັ່ນ 2.4.49 ແລະ ປິດພາລາມີເຕີ (parameter) ‘require all denied’ ເອົາໄວ້ເທົ່ານັ້ນ ຊຶ່ງເປັນຄ່າ Default ທັ້ງນີ້ພົບການໃຊ້ງານໂຈມຕີແລ້ວ ຖ້າຫາກຄົນຮ້າຍເຮັດໄດ້ສຳເລັດ ອາດນຳໄປສູ່ການເຂົ້າເຖິງຂໍ້ມູນ ທີ່ບໍ່ສົມຄວນໄດ້ ດ້ວຍເຫດນີ້ຈື່ງແນະນໍາໃຫ້ຜູ້ໃຊ້ງານ ຮີບອັບເດດ ໂດຍຈາກການຄົ້ນຫາຜ່ານແພລດຟອມ Shodan ພົບວ່າ Apache 2.4.49 ນັບແສນທີ່ເປີດໃຊ້ຢູ່

CVE-2021-41524 ເປັນຊ່ອງໂຫວ່ອີກລາຍການໜື່ງໃນການແພັດ (Patch) ຂອງ Apache 2.4.50 ໂດຍເປັນເລື່ອງຂອງ null pointer dereference ລະຫວ່າງການປະມວນຜົນ HTTP/2 Request ທີ່ອາດນຳໄປສູ່ການໂຈມຕີ ທີ່ສົ່ງຜົນໃຫ້ເກີດ DoS.

ວິທີ​ກ​າ​ນ​ປ້ອງ​ກັນ​

• ອັບເດດຊອບແວ Apache HTTP Server ໃຫ້ເປັນເວີຊັ່ນຫລ້າສຸດຢູ່ສະເໝີ.

ເອກະສານອ້າງອີງ:

1. https://www.bleepingcomputer.com/news/security/apache-fixes-actively-exploited-zero-day-vulnerability-patch-now/
2. https://www.techtalkthai.com/apache-http-server-cve-2021-41773-fix/