Apache Software Foundation ได้ออกตัวอัปเดตด้านความปลอดภัยเพิ่มเติมสำหรับตัวเว็บเซิร์ฟเวอร์ชื่อดังของตัวเอง เพื่อแก้ตัวหลังจากแพ็ตช์ที่เคยปล่อยเมื่อต้นสัปดาห์ก่อนถูกมองว่า “ยังแก้ไม่สะเด็ดน้ำ” สำหรับการแก้ปัญหาช่องโหว่ที่กำลังระบาดอยู่ตอนนี้
โดยช่องโหว่ดังกล่าวอยู่ภายใต้รหัส CVE-2021-42013 พัฒนาขึ้นจากบนช่องโหว่ CVE-2021-41773 อีกทอดหนึ่ง ที่เป็นบั๊กเกี่ยวกับพาธที่เปิดให้เข้าถึงและเรียกดูไฟล์ที่เก็บไว้บนเซิร์ฟเวอร์เหยื่อได้ กระทบกับเว็บเซิร์ฟเวอร์ของ Apache เวอร์ชั่น 2.4.49
ซึ่งหลังจากมีการออกตัวแก้ไขในเวอร์ชั่น 2.4.50 ก่อนหน้านั้น กลับกลายเป็นว่าเกิดช่องโหว่ที่สามารถทำให้รันโค้ดจากระยะไกลในกรณีที่มีการโหลดโมดูล “mod_cgi” โดยไม่ได้มีการตั้งค่า “require all denied” ไว้ก่อน จึงเป็นสาเหตุทำให้ Apache ต้องรีบออกตัวอัพเดทใหม่ฉุกเฉินอีกครั้ง
ทางบริษัทระบุว่า “เนื่องจากเราพบว่าตัวแก้ไขบั๊ก CVE-2021-41773 บน Apache HTTP Server 2.4.50 ยังไม่สามารถป้องกันการโจมตีได้ดีพอ ผู้โจมตียังสามารถใช้เทคนิค Path Tranversal ในการจับคู่ URL กับไฟล์ที่อยู่ภายนอกไดเรกทอรีที่ตั้งค่า Alias-like ได้”
ที่มา : THN
