۵ آسیبپذیری شامل یک آسیب پذیری سریز بافر و چندین آسیبپذیری انسداد سرویس در کارگزار وب آپاچی وصله شدهاند. با وصله شدن این آسیبپذیریها نسخهی Apache httpd 2.4.10-dev از این نرمافزار کارگزار وب نیز عرضه شده است.
وصلهی آسیبپذیری سریز بافر که با درجهی اهمیت متوسط، منتشر شده است، اگر به صورت موفقیتآمیز توسط مهاجم مورد سوءاستفاده قرار بگیرد میتواند منجر به اجرای کد از راه دور شود. آسیبپذیری مربوط به نحوهی مدیریت بهروزرسانیهای مولفهی mod_status میباشد که منجر به ایجاد شرایط رقابتی میشود و مهاجم میتواند بدون احراز هویت از أسیبپذیری سوءاستفاده کند.
محقق امنیتی به نام Marek Kroemeke از تیم امنیت مدیریت آسیبپذیریهای روز-صفرم HP، این آسیبپذیری با شناسهی CVE-2014-0226 را گزارش داده است و از آنجایی که مهاجم برای سوءاستفاده از این آسیبپذیری باید شرایط زیادی را ایجاد کند دارای درجه اهمیت متوسط است.
مهاجم در صورتی که بتواند به یک صفحهی عمومی وضعیت از کارگزار وب دسترسی پیدا کند، با ارسال درخواستهای آلوده، که منجر به سرریز بافر میشود از آسیبپذیری سوءاستفاده خواهد کرد، البته پیکربندی پیشنهادی آپاچی شامل ارائهی صفحهی عمومی وضعیت نیست.
علاوه بر این آسیبپذیری سریرز بافر، ۴ آسیبپذیری انسداد سرویس نیز در این نسخه وصله شدهاند که ۲ آسیبپذیری با شناسههای CVE-2014-0231 و CVE-2014-3523 مهم و دوتای دیگر با شناسههای CVE-2014-0117 و CVE-2014-0118 متوسط هستند.
به مدیران وبگاهها توصیه میشود هرچه سریعتر نسخهی 2.4.10 نرمافزار کارگزار وب آپاچی را جایگزین نسخههای قبلی کنند تا از خطرات احتمالی در امان باشند.