Die Apache Foundation hat kritische Patches für den HTTP-Server veröffentlicht, nachdem sie eine ernsthafte Schwachstelle für das HTTP / 2-Management gefunden hat, die zu einer Denial of Service und unter bestimmten Bedingungen bei der Remotecode-Ausführung führen kann. Die korrigierte Version ist Apache HTTP Server 2.4.67 und die unmittelbare Empfehlung für Manager ist es, die betroffenen Körper, die noch 2.4.66 oder früher implementieren, so schnell wie möglich zu aktualisieren.
Das Problem wird in der mod _ http2 Flow Cleaning Logik gesetzt und ist ein klassischer Fall von Doppelspeicher-Release, die von einer Sequenz von HTTP / 2 Zeilen, die von einem Client gesendet werden, abgeschossen werden kann. In der Praxis bedeutet dies, dass ein entfernter Angreifer dazu führen kann, dass ein Arbeiter mit einigen gut ausgebildeten Paketen blockieren kann; denial of service ist trivial zu spielen in Standard-Einstellungen. Der Pfad zur Remote-Code-Ausführung (CERs) erfordert zusätzliche Bedingungen - eine mmap-Speicherzuweisung in APR und eine Schrittkette, um die freigegebene Richtung wiederverwenden - aber Forscher haben gezeigt, dass es im Labor unter gemeinsamen Debian-Einstellungen und im offiziellen httpd Docker-Bild lebensfähig ist.
Dass die Ausbeutung von CERs von der mmap abhängt und Elemente wie das "Scoreboard" des Servers einige Plattformen attraktiver macht: In Debian und in Dockers offiziellem Bild erleichtert das Standardverhalten den Fluss der Explosion. Die Multi-Thread-Konfigurationen mit mod _ http2 aktiviert sind am meisten exponiert; der Prefork MPM leidet nicht an diesem Ausfall so kann ein vorübergehender Wechsel auf Prefork eine teilweise Minderung in Umgebungen sein, wo es nicht möglich ist, sofort zu parken.
Neben dem Patch sind die sofortigen Minderungsmaßnahmen zu berücksichtigen: Aktualisierung auf 2.4.67 auf allen exponierten Servern, deaktivieren Sie mod _ http2, wenn nicht unbedingt erforderlich, und überprüfen Sie, ob die APR die mmap verwendet (eine Rekombination von APR ohne mmap reduziert das Betriebssystemfenster). Für Container-Umgebungen, stellen Sie sicher, Bilder auf der Grundlage der korrigierten Version des Servers neu zu erstellen und zu implementieren und sicherzustellen, dass die Produktionsbilder nicht weiterhin die verletzliche Version verwenden.
Betreiber und Sicherheitsausrüstungen sollten klare Missbrauchsindikatoren überwachen: Verbindungsmuster, die den Wiedereinstieg von wiederholten Arbeitnehmern, Kern-Hirnumps oder ungewöhnliche Einträge in httpd-Fehlerdatensätzen verursachen. Implementieren Sie Geschwindigkeitslimits auf der Ebene der Rocker oder Firewall, oder zwingen Sie HTTP / 2 Kündigung in einem gepatchte TLS-Proxy / Terminator, kann gezielte Angriffe enthalten, während das vollständige Park-Update angewendet wird.
Die Schwachstelle wurde von unabhängigen Forschern gemeldet und ihr CVSS-Rating (8.8 nach dem Bericht) unterstreicht seine Auswirkungen. Obwohl der Weg zu CERs zusätzliche technische Bedingungen und einen gewissen Grad "Spray" und Informationsleckung erfordert, sind die Denial von Service-Angriffen einfach und ausreichend, um die Priorität im Parken zu rechtfertigen. Weitere technische Details und die offizielle Liste der Korrekturen finden Sie auf der Apache HTTP Server Sicherheitsseite und mod _ http2 Dokumentation. https: / / httpd.apache.org / Sicherheit / Sicherheitslücken _ 24.html und https: / / httpd.apache.org / docs / 2.4 / mod / mod _ http2.html.
Kurz gesagt: Wenden Sie die Version 2.4.67 so schnell wie möglich an, priorisieren Sie Debian-basierte öffentliche Server und Container oder das offizielle Bild von httpd, betrachten Sie temporäre Minderungen wie Deabling mod _ http2 oder wechseln Sie auf Prefork, wenn Sie nicht sofort parken können, und erhöhen Sie die Überwachung von abnormalen Stabilitäts- und Verkehrsereignissen auf Ihrer HTTP / 2 Front.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...