ネットワークセキュリティー
 Computer >> コンピューター >  >> ネットワーキング >> ネットワークセキュリティー

見つかった 3 つの最も重大な Apache 脆弱性

世界で広く使用されている Web サーバー ソフトウェアである Apache は、悪名高い脆弱性の被害に何度も悩まされてきました。これらの脆弱性により、サーバーはさまざまな形式の悪意のある攻撃やその他のインターネット詐欺にさらされやすくなり、情報の盗難や損失につながります. Apache は脆弱なバージョンのアップデートを定期的にリリースしていますが、次の Apache の脆弱性は、ユーザーを危険にさらす可能性があることで悪名を馳せています。

1. OpenMeetings SQL インジェクションの脆弱性

Apache OpenMeetings バージョン 1.0.0 は、SQL インジェクションの脆弱性 (CVE-2017-7681) に対して脆弱であることが判明しており、情報漏えいの可能性があります。この脆弱性を悪用するには、攻撃者は、コマンド ライン、デスクトップ セッション、または Web インターフェイスなどでシステムにログインする必要があります。一部のシステム ファイルまたは情報の変更は可能ですが、攻撃者は変更できる内容を制御できないか、攻撃者が影響を与える範囲が限られています。

OpenMeetings は、最も人気のある仮想会議ソフトウェアの 1 つで、オンライン プレゼンテーション、オンライン トレーニング、Web 会議、およびユーザー デスクトップ共有に広く使用されています。その広範な使用は、既存のクエリの構造にリスクを与え、バックエンドでアプリケーションによって作成される他のクエリの構造が漏洩するリスクをもたらします。

当面の改善策は、Apache OpenMeetings 3.3.0 にアップグレードすることです

Web サイトのセキュリティ ソリューション (カスタム コードまたは CMS) をお探しの場合、Astra Firewall は XSS、LFI、RFI、SQL インジェクション、悪意のあるボット、その他 80 以上の脅威から Web サイトを 24 時間 365 日保護します。今すぐアストラ デモを受講してください。

2. Apache Ranger のセキュリティ バイパスの脆弱性

Apache Ranger は、セキュリティ バイパスの脆弱性 (CVE-2017-7676) に陥りやすくなっています。その結果、攻撃者はこの問題を悪用して特定のセキュリティ制限を回避し、不正なアクションを実行して、さらなる攻撃を助長する可能性があります。これにより、ポリシー リソース マッチャーは「*」ワイルドカード文字の後の文字を無視できるため、影響を受けるポリシーが適用されるべきではないリソースに適用されます。

Apache Ranger は、Hadoop プラットフォーム全体で包括的なデータ セキュリティを有効化、監視、管理するために広く使用されているフレームワークです。重大度は低いと見なされますが、事実上。セキュリティ バイパスの脆弱性は、Ranger バージョン 0.5.1 から 0.7 に影響を与えます。当面の修正は、この問題を修正する Apache Ranger バージョン 0.7.1 にアップグレードすることです。

3. Apache HTTP サーバーの認証バイパスの脆弱性

Apache HTTP サーバーの CVE-2017-3167 認証バイパスの脆弱性により、攻撃者は認証メカニズムをバイパスして不正なアクションを実行し、さらなる攻撃につながる可能性があります。この脆弱性の影響を受けるバージョンは、Apache HTTP Server 2.2.0 ~ 2.2.32 および Apache HTTP Server 2.4.0 ~ 2.4.25 です

この脆弱性は、ap_get_basic_auth_pw() の不適切な使用に起因します。 影響を受けるソフトウェアの認証フェーズ外のサードパーティ モジュールによる Apache HTTP サーバーの機能。代わりに、サードパーティ モジュールは ap_get_basic_auth_components() を使用する必要があります。 関数。

セーフガードには、修正済みバージョンへの更新、信頼できるユーザーのみへのネットワーク アクセス、IP ベースのアクセス制御リスト (ACL) を採用して、信頼できるシステムのみが影響を受けるシステムにアクセスできるようにすることが含まれます。

また、Most Critical Apache Vulnerabilities に関する詳細なブログもチェックしてください

オンライン詐欺師からウェブサイトを保護することを心配していますか?お問い合わせ Astra の Web セキュリティ スイート から 24 時間体制のセキュリティを確保するため XSS、LFI、RFI、SQL インジェクション、悪意のあるボット、その他 80 以上の脅威 .


  1. Nagios Log Server =2.1.6 で見つかった保存された XSS の脆弱性 - すぐに更新

    一般的なログ監視および管理アプリケーションである Nagios Log Server バージョン 2.1.6 (テスト時点で最新) をテストしたところ、Stored XSS 攻撃に対して脆弱であることがわかりました。 CVE ID: CVE-2020-16157 まとめ Nagios Log Server は、組織がログを表示、並べ替え、および構成できるようにする、一般的な集中ログ管理、監視、および分析ソフトウェアです。アプリケーションのバージョン 2.1.6 は、保存された XSS に対して脆弱であることが判明しました。 ストアド クロス サイト スクリプティング攻撃では、ターゲッ

  2. Adobe、Magento CMS の複数の重大な脆弱性を修正

    今週、Adobe は Magento プラットフォームの重大度の高い複数の脆弱性に対処しました。これにより、何十万もの Web サイトが任意のコード実行や顧客リストの改ざん攻撃に対して脆弱になりました。 Magento は、WordPress に次いで 2 番目に人気のあるコンテンツ管理システム (CMS) プラットフォームであり、250,000 を超えるアクティブな e コマース サイトを支えており、これはすべてのオンライン ストアの約 12% を占めています。また、Magento.com によると、Magento ベースのサイトは毎年 1,550 億ドル以上のトランザクションを処理してい