התקנה מיידית של גרסת Apache HTTP Server המעודכנת ביותר, לצורך עדכון החולשות המוזכרות להלן.
בתאריך 24.08.2020 פורסמו 3 חולשות בדרגת CVSS גבוהות לעדכון מידי, אשר משפיעות באופן ישיר על שרתי Apache בגרסאות 2.4.32-2.4.44.
החולשה הראשונה מאפשרת לתוקף להריץ קוד מרוחק על שרתי Apache תוך ניצול חולשה במודול ה "mod_uwsgi" (CVE-2020-11984). על ידי ניצול חולשה זו, התוקף מאופשר לעיתים לשנות מידע רגיש באפליקציות הרצות על השרת ובכך לגרום לשיבוש מידע ואף לגניבתו.
החולשה השניה נגרמת בזמן שבו מצב דיבאג (Debugging Mode) ו/או מצב מעקב (Trace Mode) מאופשרים במודול ה "mod_http2" (CVE-2020-11993). על ידי ניצול החולשה במנגנון הDebugging והTracing, ניתן להקריס מערכות שרצות על גבי שרתי הApache, בכך שנעשה שימוש בתאי זיכרון משותפים עבור מספר מרובה של משאבים – דבר אשר יכול לקריסת המערכת כולה.
החולשה שלישית, והקריטית ביותר היא (גם כן במודול ה- "mod_http2"). בעזרת ניצול מנגנון ה Cache Digest, אשר מטרתו העיקרית הינה לצמצם תעבורת מידע מוכרת בין שרת ללקוח. בעוד שהשרת שולח תגובות מראש אל הלקוח, עוד לפני שהלקוח שלח את הבקשות, כמות הTraffic שעובר ברשת מצטמצמת משמעותית.
החולשה הנוכחית, פוגעת בזיכרון הCache Digest בכך שגורמת להשחתת תאי זיכרון אשר אוגרים את הנתונים המיועדים למעבר בין השרת ללקוח (אותם הנתונים הנשלחים בPush אל הלקוח, עוד לפני שביקש אותם). כפי שניתן להסיק, בעת שמתבצעת השחתה של הנתונים הנשמרים בזיכרון, קיים חשש לקריסת המערכת ואף להגעה למצב שבו לא מאופשר לשרת להמשיך לתת שירות ללקוחות (Denial of Service).
חברת VMware הינה בין חברות הוירטואליזציה הגדולות בעולם. בתקופה האחרונה אנו למדים על חולשות רבות במוצריה השונים בעלי חומרה קריטית אחר יכולות לפגוע בארגון, בפעילות העסקית שלו ואף באמינותו. חברת VMware שיחררה פתרונות "יצירתיים"
ו-Patches מתאימים לצורך מיגור החולשות.
במאמר זה נתרכז בשני CVEs שונים אשר מהווים חולשות קריטיות שפורסמו בחודש האחרון.
מיקרוסופט הפיצה השבוע את העדכון אבטחה החודשי CVE-2020-17807 אשר נועד לתקן פרצות אבטחה אשר נתגלו מאז העדכונים האחרונים.
חלק מפרצות האבטחה נתגלו ע"י חוקרי גוגל מפרויקט Zero-Days Google וחלקם מקושרות לפוגעניות אשר היו קיימות בדפדפן כרום ובמקביל במערכות הפעלה Windows OS הן למחשבים והן לשרתים.
עוברים לשימוש בשירותיAzure AD כספק הזהויות בענן?
הוסיפו הגדרות Security Defaults כבסיס אבטחתי ראשוני לפני הוספת שאר יכולות האבטחה ב- Azure!
