Apache недопатчила 0-day в веб-сервере и выпустила дополнительный апдейт

Екатерина Быстрова 08 Октября 2021 - 12:03

Домашние пользователи

Уязвимость нулевого дня

Патчи

...

Apache выпустила дополнительные патчи для уязвимости нулевого дня, которая отслеживается под идентификатором CVE-2021-41773. Оказалось, что разработчикам не хватало одного обновления.

На сегодняшний день уже известно, что брешь затрагивает Apache HTTP Server версии 2.4.50 и позволяет злоумышленнику получить полный контроль над уязвимой системой. Агентство по кибербезопасности и защите инфраструктуры США (CISA) на днях сообщало, что CVE-2021-41773 уже используется в реальных атаках.

Разработчики признали, что одного патча было недостаточно, чтобы устранить выявленную 0-day. В заявлении Apache говорится следующее:

«Оказалось, что первый патч не решал проблему эксплуатации CVE-2021-41773, поскольку атакующие могли использовать обход каталогов и замапить URL на файлы, находящиеся за пределами директорий. Если при этом администратор разрешил выполнение CGI-скриптов, открывалась возможность для удалённого выполнения кода».

«Эта уязвимость затрагивает исключительно версии Apache 2.4.49 и 2.4.50. Более ранние релизы не содержат эту дыру».

Напомним, что буквально пару дней назад Apache сообщала об устранении этой 0-day в веб-сервере. Теперь администраторам нужно как можно скорее установить и второй патч, чтобы защититься от кибератак.

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Яков Шпунт 30 Марта 2026 - 10:17

Неисправность оборудования Сбои оборудования Общее

В России начало массово выходит из строя оборудование в старых ЦОД

В российских центрах обработки данных (ЦОД), введённых в эксплуатацию 10 и более лет назад, начались массовые отказы оборудования. Причина — выработка ресурса на фоне сложностей с поставками запасных частей из-за рубежа и отсутствия необходимых складских запасов.

По оценке отраслевых аналитиков, опрошенных РБК, проблема затрагивает примерно каждый пятый коммерческий ЦОД. Особенно остро ситуация проявляется в сравнительно небольших дата-центрах, а также в локальных серверных в компаниях.

Руководитель направления сервиса инженерных систем «К2Теха» Денис Полуэктов отметил, что в первой половине 2025 года запросов на устранение аварий в ЦОД, связанных с проблемами инженерной инфраструктуры, не поступало. Однако в начале 2026 года число таких обращений уже превысило 10. Состояние инженерной инфраструктуры во всех этих случаях специалист охарактеризовал как «предсмертное».

Схожую оценку дал и заместитель генерального директора по инфраструктуре интегратора «Ультиматек» Павел Приедитис. По его словам, все заявки связаны с объектами, где инфраструктура была установлена 10 и более лет назад. Именно на этот срок обычно приходится завершение жизненного цикла такого оборудования.

Член оргкомитета Профессиональной ассоциации в сфере облачных технологий (RCCPA) Антон Салов оценил долю коммерческих ЦОД, столкнувшихся с этой проблемой, в 20%. В первую очередь речь идёт о системах бесперебойного питания, дизель-генераторах и подсистемах климат-контроля.

Представители операторов ЦОД признали наличие проблем, связанных с накопленными техническими долгами. Ситуацию усугубляют не только сложности с зарубежными поставками, но и финансовые трудности самих компаний. Одним из выходов становится постепенная замена оборудования на более доступные решения российского и китайского производства. В более выгодном положении оказались те, кто успел заранее сформировать значительные запасы комплектующих.

В 2026 году уже произошло как минимум два заметных инцидента, связанных с работой ЦОД. Так, 27 марта не работал ЦОД правительства Белгородской области, однако в том случае причиной стала авария на линии электроснабжения. А 16 марта масштабный сбой произошёл у «Яндекса», причём он затронул и сторонние компании, использующие его инфраструктуру.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!