Apache Buffer Güvenlik Zafiyeti

Apache Buffer Güvenlik Zafiyeti

Apache HTTP Server ile ilgili kritik* seviyeli bir güvenlik açığı yayınlandı.

Bu güvenlik açığı Apache HTTP Server 2.4.53 ve altı versiyonlarda, ap_strcmp_match() fonksiyonuna çok büyük bir değer girildiğinde okuma eşiğinin aşılmasından dolayı kilitlenebilir veya veriler ifşa edilebilir. Sunucuyla dağıtılan hiçbir kod böyle bir çağrıya zorlanamazken, bahsi geçen fonksiyonu kullanan üçüncü taraf modüller veya lua komut dosyaları bu durumdan etkilenebilecektir.

Etkilenen Sistemler

• Apache HTTP Server (versiyon 2.4.53 ve öncesi)

IoC’ler

-

Çözüm Önerileri

Apache HTTP Server’ın 8 Haziran 2022’de yayınlanmış olan 2.5.54 versiyonuna yükseltilmesi önerilir.

Detaylı bilgi için aşağıdaki bağlantı içeriği incelenebilir:

CVE / CWE

CVE-2022-28615

Ek Bilgiler

• https://nvd.nist.gov/vuln/detail/CVE-2022-28615
• https://httpd.apache.org/security/vulnerabilities_24.html

* CVSS 3.1 skoru (10 üzerinden) 7.0-8.9 olanlar “yüksek”, 9.0-10.0 olanlar “kritik” zafiyet olarak değerlendirilmektedir.