เมื่อวันที่ 5 ตุลาคมที่ผ่านมานี้ ทาง Apache HTTP Server Project ได้มีการออก Patch สำหรับแก้ไข 2 ช่องโหว่

CVE-2021-41524 ซึ่งเป็นช่องโหวที่ตรวจพบ Null Pointer ระหว่างการประมลผลคำขอ HTTP-2 ซึ่งจะช่วยให้ผู้โจมตีทำการโจมตีแบบ Denial of service (DOS) บน Server ได้ ซึ่งล่าสุดยังไม่พบว่าถูกนำมาใช้สำหรับการโจมตี

CVE-2021-41773 ซึ่งเป็นช่องโหว่การข้ามเส้นทางและการเข้าถึงไฟล์ใน Apache HTTP Server ซึ่งเป็น Open-source web server สำหรับ Unix และ Windows ซึ่ง Apache HTTP Server นั้นพบมีการใช้โจมตีอย่างแพร่หลายมากที่สุด

CVE-2021-41773 นั้นถูกนำมาใช้โจมตีกับ Apache HTTP Server ด้วยวิธีการ Path Traversal ใน Version.

Apache HTTP Server พบว่ามีช่องโหว่ที่เกิดขึ้นจากปัญหาของหน่วยความจำ ซึ่งผู้โจมตี (attacker) สามารถใช้ช่องโหว่นี้ในการขโมยข้อมูลสำคัญ หรืออาจทำให้เกิด Dos Attack ได้ ทั้งนี้เวอร์ชั่นที่ได้รับผลกระทบ คือเวอร์ชั่นก่อนหน้า 2.2.34 และ 2.4.27

ที่มา : securityfocus

การตรวจสอบโค้ดเพื่อหาช่องโหว่ความปลอดภัยเป็นระยะเพื่อป้องกันแฮกเกอร์พบช่องโหว่เหล่านี้ก่อนเป็นแนวทางที่เอกชนเริ่มให้ความใส่ใจมากขึ้นในช่วงหลัง เช่น Core Infrastructure Initiative หรือ Secure Open Source ตอนนี้ภาครัฐอย่างสหภาพยุโรปก็เริ่มเข้ามามีบทบาทโดยจัดสรรงบประมาณมาตรวจสอบโค้ดโครงการโอเพนซอร์ส

ทางสหภาพยุโรปได้ทำแบบสำรวจเป็นเวลาประมาณสามสัปดาห์เพื่อหาว่าซอฟต์แวร์ใดควรได้รับการตรวจสอบโค้ด ได้รับคำตอบกว่า 3,200 ชุด สองอันดับแรก คือ KeePass (23.1%) และ Apache HTTP Server (18.7%) ได้รับเลือกให้เข้าโครงการ อันดับถัดๆ ไปที่ไม่ได้รับเลือก เช่น VLC (8.8%), MySQL (4.3%), 7-zip (4.2%), Git (4.1%)

กระบวนการตรวจสอบโค้ดจะเริ่มในอีกไม่กี่สัปดาห์ข้างหน้า ถ้าไม่มีอะไรผิดพลาดเราน่าจะได้อ่านรายงานกันฟรีๆ อีกครั้ง

ที่มา: blognone, joinup