Ernstige kwetsbaarheden in Apache httpd webserver

24 december 2021

Het NCSC meldt 2 kwetsbaarheden in de Apache httpd webserver die door kwaadwillenden op afstand kunnen worden misbruikt. 

De servers die wij beheren zijn niet kwetsbaar voor de kwetsbaarheid met kenmerk CVE-2021-44224: we hebben geen 'forward proxy' configuraties kunnen vinden op de servers.

Op een aantal servers hebben we mod_lua configuratie gevonden die het mogelijk zou maken om de kwetsbaarheid met kenmerk CVE-2021-44790 te misbruiken. We hebben de klanten voor wie we deze servers beheren geïnformeerd middels een servicedesk ticket.

Helaas is het op veel servers nog niet mogelijk om de Apache httpd webserver te updaten naar de veilige 2.4.52 release, omdat nog niet alle Linux distributies deze versie beschikbaar stellen. Daarom hebben we uitgezocht of het noodzakelijk is dat mod_lua op deze servers actief is. Dat is op geen van de servers het geval, we hebben de mod_lua module daarom kunnen deactiveren op alle servers waar Apache httpd nog niet geupdate kan worden.