التخطي إلى المحتوى الرئيسي

يعمل تحديث أمان Apache الجديد لخادم HTTP على إصلاح عيبين


هناك إصلاح لعيب فادح في خادم Apache HTTP ، وهو ثاني أكثر خادم ويب استخدامًا في العالم.




أصدرت مؤسسة Apache Software Foundation تحديثًا لمعالجة عيب خطير في خادم الويب الذي يتمتع بشعبية كبيرة والذي يسمح للمهاجمين عن بُعد بالتحكم في نظام ضعيف.

أصدرت المؤسسة الإصدار 2.4.52 من خادم Apache HTTP (خادم الويب) الذي يعالج عيبين تم تتبعهما مثل CVE-2021-44790 و CVE-2021-44224 ، والتي لها درجات خطورة CVSS ذات الصلة من 9.8 (حرجة) و 8.2 (عالية) ) من أصل 10. يمكن أن تكون النتيجة 9.8 سيئة للغاية ، وفي الأسابيع الأخيرة لم تتفوق سوى ثغرة Log4j المعروفة باسم Log4Shell ، والتي كانت درجة الخطورة فيها 10 من 10 .

عيب خادم ويب Apache الأول هو تجاوز سعة المخزن المؤقت المرتبط بالذاكرة والذي يؤثر على Apache HTTP Server 2.4.51 والإصدارات الأقدم. تحذر وكالة الأمن السيبراني وأمن البنية التحتية (CISA) من أنها "قد تسمح لمهاجم عن بعد بالسيطرة على نظام متأثر". يسمح الخلل الأقل خطورة بتزوير طلب جانب الخادم في Apache HTTP Server 2.4.7 حتى 2.4.51.

هذا الإصدار من Apache HTTP Server هو أحدث إصدار متاح بشكل عام من الجيل الجديد 2.4.x فرع من Apache HTTPD من مشروع خادم HTTP الذي يبلغ عمره 26 عامًا من Apache ، والذي يحافظ على خادم HTTP مهم وحديث مفتوح المصدر لمنصات Unix و Windows .

يعد خادم Apache HTTP Server ثاني أكثر خوادم الويب استخدامًا على الإنترنت بعد Nginx ، وفقًا لـ W3Techs ، والتي تقدر أنه يستخدمها بنسبة 31.4٪ من مواقع الويب في العالم. تقدر شركة الأمن البريطانية Netcraft استخدام 283 مليون موقع ويب Apache HTTP Server في ديسمبر 2021 ، وهو ما يمثل 24٪ من جميع خوادم الويب.

يبدو أن الخطأ الخطير لم يتعرض للهجوم بعد ، لكن فريق HTTPD يعتقد أنه من المحتمل أن يتم تسليحه.

قال فريق Apache HTTPD: "فريق Apache httpd ليس على علم بوجود ثغرة أمنية على الرغم من أنه قد يكون من الممكن صياغة واحدة".

أوضح Steffan Eissing من مؤسسة Apache في قائمة بريدية: " يمكن أن يتسبب نص الطلب المصمم بعناية في تجاوز سعة المخزن المؤقت في المحلل اللغوي mod_lua متعدد الأجزاء (r: parsebody () من نصوص Lua النصية)" .

كما تلاحظ Netcraft ، لم يتأثر خادم Apache HTTP بشكل مباشر بمكتبة رسائل الخطأ Log4j المستندة إلى Java كما تمت كتابتها في C. ومع ذلك ، حتى خوادم الويب المكتوبة بلغات غير جافا ربما لا تزال قد دمجت مكتبة Log4j الضعيفة في تقنية كومة. خادم الويب الخاص بشركة IBM ، WebSphere ، يدمج Log4j وكان عرضة للخطر ، لكن Netcraft وجد فقط 3778 موقعًا يستخدمه.

أصدرت Apache Software Foundation ثلاثة تحديثات في الأسبوع الماضي في أعقاب ثغرة Log4Shell واسعة النطاق في فرع Log4j الإصدار 2.

أصدرت وكالات الأمن السيبراني من الولايات المتحدة وأستراليا وكندا ونيوزيلندا والمملكة المتحدة أمس إرشادات للمنظمات لمعالجة الخطأ . من المتوقع أن يستغرق حل الخطأ شهورًا لأن مكتبة Log4j قد تم دمجها كمكون في مئات من منتجات البرامج من كبار البائعين ، بما في ذلك IBM و Cisco و VMware و RedHat و Oracle. تأتي المكتبة أيضًا مع أطر مهمة ، مثل Apache's Struts2.

المشاركات الشائعة من هذه المدونة

دعنا نذهب فيديو: الاتصال بصريا

يعد الفيديو وسيلة ميسورة التكلفة لزيادة المبيعات والتواصل مع الفرق ودعم العملاء وتدريب الموظفين. أظهر العامان الماضيان مدى أهمية الفيديو بالنسبة للشركات الصغيرة. سرّع جائحة COVID من تبني الأعمال للفيديو ، سواء من أجل التعاون أو الاتصالات الخارجية. بالنسبة للعديد من الشركات ، يعد الفيديو أيضًا أداة للبحث عن العملاء المحتملين في جميع أنحاء العالم وتسويقهم وتقديمهم والالتقاء بهم. على نحو متزايد ، تقوم الشركات بتنفيذ الفيديو لدعم مبادرات العمل عن بعد. تقدر مؤسسة جارتنر أن 31٪ من جميع العاملين في جميع أنحاء العالم سيكونون عن بُعد هذا العام ، وهو رقم يشمل أولئك الذين يعملون بجدول زمني هجين أو بعيد تمامًا. سيكون لدى الولايات المتحدة أكبر نسبة من العمال عن بعد في عام 2022 ، حيث ستشكل 53٪ من القوة العاملة. القدرة على دعم الفيديو الفيديو عنصر حاسم في العمل عن بعد. هناك شيء مميز حول مشاركة الاتصال المرئي مع زملاء العمل ، وغالبًا ما يحفز الإبداع والتعاون. يمكنك رؤية تفاعل الأشخاص في الوقت الفعلي ، دون الحاجة إلى التردد أو محاولة قراءة "نغمة" البريد الإلكتروني. بالإضافة إلى ذلك ، يمكن مق...

لا يزال هجوم برامج الفدية على FinalSite يعطل خدمات البريد الإلكتروني في آلاف المدارس

أوصت الشركة العملاء بالحد من استخدام البرامج لتحديثات المعلومات الهامة صباح يوم الجمعة حيث سعت المدارس إلى مراسلة أولياء الأمور حول COVID والإغلاق المرتبط بالثلوج. لا تزال شركة FinalSite لتكنولوجيا التعليم في طور التعافي من هجوم فدية مدمر أدى إلى شل العديد من الخدمات التي تقدمها لآلاف المدارس في جميع أنحاء العالم هذا الأسبوع. في تحديث صباح يوم الجمعة ، قالت الشركة إن "الغالبية العظمى" من مواقعها تعمل على الواجهة الأمامية ، لكن العديد من الأنظمة لا تزال تواجه مجموعة متنوعة من المشكلات. وحثوا عملاءهم - الذين يشملون آلاف المدارس في 115 دولة مختلفة - على تقييد "استخدام البرامج لتحديثات المعلومات الهامة للواجهة الأمامية" حتى يتأكدوا من أن جميع الوظائف تعمل بشكل كامل. وقالت الشركة: "تشمل أمثلة الاستخدام التي يجب تجنبها إرسال بريد إلكتروني / إشعارات ، ومهام سير العمل ، والاعتماد على التقويم والتنبيهات الرياضية ، وتحميل البيانات وما إلى ذلك". أثناء عودة بعض أنظمة الواجهة الأمامية ، قال موقع FinalSite إن بعض التصميم قد يكون مفقودًا ، وقد لا يتمكن المستخدمون من الو...

Samsung Galaxy S22 مقابل iPhone 13: دعنا نقارن الأرقام

الرائد الجديد الأكثر ملاءمةً للميزانية من Samsung وعروضه متوسطة المدى تتماشى مع نظيرتها التي تعمل بنظام iOS لمعرفة ما إذا كانت Apple أو Samsung ستسودان الصدارة في أوائل عام 2022 في ذلك الوقت من السنة مرة أخرى. لقد انتهينا جميعًا من التعافي من العطلات ، والحب في الأجواء مع اقتراب عيد الحب ، وتطلق Samsung أحدث وأكبر الإدخالات في خط Galaxy S الرئيسي . هذه المرة ، تقدم الشركة بعضًا من أفضل كاميراتها على الإطلاق ، وتقليل مطبات الكاميرا ، وشحن أسرع ، من بين تحسينات أخرى. في حين أن المقارنة الأكثر منطقية بين هاتفي Galaxy S22 و Galaxy S22 + الجديدتين قد تكون عبارة عن تشكيلة تفاح إلى تفاح مقابل برامج Android الرئيسية الأخرى ، سنفعل شيئًا مختلفًا قليلاً هنا ونقارن بين هذه التفاحات ، حسناً ، Apple. على وجه التحديد ، iPhone 13. ستساعد هذه المقارنة جنبًا إلى جنب هؤلاء المتسوقين الذين ما زالوا على الحياد حول ما إذا كانوا يريدون الانضمام إلى فريق Blue Bubble أو فريق Green Bubble من خلال وضع مواصفات Samsung Galaxy S22 و Galaxy S22 + جنبًا إلى جنب مع أقرب نظيرتها التي تعمل بنظام iOS. بالطبع ، الاختلافا...