Apache verhelpt meerdere kwetsbaarheden in HTTP Server
De Apache Software Foundation heeft meerdere kwetsbaarheden in HTTP Server verholpen waardoor het in het ergste geval mogelijk is om kwetsbare webservers op afstand over te nemen. De twee beveiligingslekken, aangeduid als CVE-2021-44224 en CVE-2021-44790, kunnen leiden tot een crash van de server, Server Side Request Forgery en een buffer overflow. Hiervoor zou een aanvaller een speciaal geprepareerde URI of request body moeten versturen.
Volgens het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) kan een remote aanvaller via de beveiligingslekken kwetsbare servers op afstand overnemen. De kwetsbaarheden zijn aanwezig in Apache HTTP Server 2.4.51 en eerder. In het geval van CVE-2021-44790, het beveiligingslek dat tot een buffer overflow kan leiden, is er voor zover bekend nog geen exploit beschikbaar. Apache adviseert beheerders om te updaten naar Apache HTTP Server 2.4.52.
Shodan.io en gij zult vele kwetsbaarheden ontwaren. Spoitus.com een vraagbaak.
Header security, CSP, is er maar steeds te weinig van en vaak veel te laat geimplementeerd.
Gehackte servers die via redirects de boel besmetten met adware en malware. Eindeloos.
PHP-gebaseerd CMS met steeds weer onveilige plug-ins. Duizenden en duizenden gevallen.
Leuke extensies om in de developer console te checken weggejorist door Google of de "diensten",
zoals Tracker SSL en sommige userscripts in Tampermonkey. Extensie en api-restricties,
vanwege de diverse tracking- en monitor-behoeften van Big Tech en de Forces that Be,
hopend dat blokkeer-ontwerpers e.d. de handdoek in de ring zullen gooien.
Al veertien jaar in de website security en aan het error-hunten. Dweilen met alle kranen open, lieve mensen.
En niemand doet iets om het maar eens goed aan te kunnen pakken.
Het lijkt wel of onveilig meer geld in het laatje brengt. Tenminste dat denk ik wel eens zo de laatste tijd.
Ben ik nu gek of hoe zit het?
luntrus
Wat een onzin, een leuke meid in een minirok vraagt er zeker ook om om verkracht te worden?
Ook om canaries in de kernel kun je heenwerken.
Ja, veel narigheid is te voorkomen, maar een Buffer overflow voorkomen lijkt me knap. De gevolgen zijn misschien minder groot dan wanneer SELinux uit staat, maar in de (standaard) targeted mode kun je heus nog wel enigszins misbruik maken van een probleem als dit.
Wat een onzin, een leuke meid in een minirok vraagt er zeker ook om om verkracht te worden?
Beetje rare vergelijking.
maareh. ja. die vraagt daar om, maar alleen als ze eerst opzoekt waar de kans het grootst is dat het gebeurt (in een donker ongepatched steegje) en dat ze daar dan dag en nacht bivakkeert (24/7 always-on) en zodra het gebeurt het niet merkt (geen alerting) en er verder ook niks om geeft (geen management belang)
Maar ja, ben je wel gehacked als je de deur wagenwijd open laat staan, of alleen heeeel erg gastvrij?
Gehacked worden is geen keuze, maar er niet op voorbereid zijn is wel een keuze.
de open-source gemeenschap zou toch beter rekening kunnen gaan houden met dit soort release momenten.
Commerciële bedrijven releasen niet voor niets vaak op dinsdagen hun software.
Desnoods op dinsdag als je donateur bent en dan op donderdag als je dat niet wilt. Hebben ze meteen hun budget weer rond om te kunnen voortbestaan.
Shodan.io en gij zult vele kwetsbaarheden ontwaren. Spoitus.com een vraagbaak.
Header security, CSP, is er maar steeds te weinig van en vaak veel te laat geimplementeerd.
Gehackte servers die via redirects de boel besmetten met adware en malware. Eindeloos.
PHP-gebaseerd CMS met steeds weer onveilige plug-ins. Duizenden en duizenden gevallen.
Leuke extensies om in de developer console te checken weggejorist door Google of de "diensten",
zoals Tracker SSL en sommige userscripts in Tampermonkey. Extensie en api-restricties,
vanwege de diverse tracking- en monitor-behoeften van Big Tech en de Forces that Be,
hopend dat blokkeer-ontwerpers e.d. de handdoek in de ring zullen gooien.
Al veertien jaar in de website security en aan het error-hunten. Dweilen met alle kranen open, lieve mensen.
En niemand doet iets om het maar eens goed aan te kunnen pakken.
Het lijkt wel of onveilig meer geld in het laatje brengt. Tenminste dat denk ik wel eens zo de laatste tijd.
Ben ik nu gek of hoe zit het?
luntrus
Ja, veel narigheid is te voorkomen, maar een Buffer overflow voorkomen lijkt me knap. De gevolgen zijn misschien minder groot dan wanneer SELinux uit staat, maar in de (standaard) targeted mode kun je heus nog wel enigszins misbruik maken van een probleem als dit.
de open-source gemeenschap zou toch beter rekening kunnen gaan houden met dit soort release momenten.
Commerciële bedrijven releasen niet voor niets vaak op dinsdagen hun software.
Desnoods op dinsdag als je donateur bent en dan op donderdag als je dat niet wilt. Hebben ze meteen hun budget weer rond om te kunnen voortbestaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.