Apache недопатчила 0-day в веб-сервере и выпустила дополнительный апдейт

Apache недопатчила 0-day в веб-сервере и выпустила дополнительный апдейт

Apache выпустила дополнительные патчи для уязвимости нулевого дня, которая отслеживается под идентификатором CVE-2021-41773. Оказалось, что разработчикам не хватало одного обновления.

На сегодняшний день уже известно, что брешь затрагивает Apache HTTP Server версии 2.4.50 и позволяет злоумышленнику получить полный контроль над уязвимой системой. Агентство по кибербезопасности и защите инфраструктуры США (CISA) на днях сообщало, что CVE-2021-41773 уже используется в реальных атаках.

Разработчики признали, что одного патча было недостаточно, чтобы устранить выявленную 0-day. В заявлении Apache говорится следующее:

«Оказалось, что первый патч не решал проблему эксплуатации CVE-2021-41773, поскольку атакующие могли использовать обход каталогов и замапить URL на файлы, находящиеся за пределами директорий. Если при этом администратор разрешил выполнение CGI-скриптов, открывалась возможность для удалённого выполнения кода».

«Эта уязвимость затрагивает исключительно версии Apache 2.4.49 и 2.4.50. Более ранние релизы не содержат эту дыру».

Напомним, что буквально пару дней назад Apache сообщала об устранении этой 0-day в веб-сервере. Теперь администраторам нужно как можно скорее установить и второй патч, чтобы защититься от кибератак.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Вышла Kali Linux 2022.3 с пятью новыми инструментами и свежим ядром Linux

Offensive Security выпустила новую версию дистрибутива Kali Linux 2022.3, предназначенного для анализа защиты информационных систем. Это уже третий релиз за 2022 год, в нём также присутствуют новые интересные инструменты.

В этот раз разработчики улучшили работу виртуальной машины, имплементировали Linux Kernel 5.18.5, добавили ряд новых инструментов и допилили поддержку ARM.

Как известно, у Kali Linux уже были VM-образы для VMware и VirtualBox, однако девелоперы добавили несколько нововведений, благодаря которым пентестерам будет проще разворачивать Kali на виртуальной машине.

Offensive Security теперь предоставляет образ VirtualBox в качестве VDI-диска и файла метаданных .vbox, что позволяет быстро добавить Kali как новую виртуальную машину.

Кроме того, в релизе Kali Linux 2022.3 добавили пять новых инструментов, которые наверняка заинтересуют пентестеров:

  • BruteShark — инструмент для анализа сети
  • DefectDojo — приложение с открытым исходным кодом для приоритизации уязвимостей и оркестрации
  • phpsploit — незаметно работающий фреймворк для постэксплуатации
  • shellfire — инструмент для эксплуатации LFI/RFI и уязвимостей инъекции команды
  • SprayingToolkit — тулза для атак вида Password Spraying против Lync/S4B, OWA и O365.

Стоит также отметить и ряд улучшений для пользователей ARM-начинки: новые версии для Raspberry Pi, Pinebook и USArmory MKII. Загрузить ISO-образы нового дистрибутива можно по этой ссылке.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru