Algo muy interesante de esta vulnerabilidad es que han salido 3 CVEs distintos relacionados con ella.
Originalmente salió el CVE-2021-44228, que indicaba que la librería era vulnerable hasta la versión 2.15.0, que arreglaba el problema.
Sin embargo, a las dos semanas de salir esta primera vulnerabilidad, salió el CVE-2021-45046, que indicaba que la forma en la que se corregía la vulnerabilidad era incompleta, y que había que actualizar la librería a la versión 2.16.0.
Pero a los dos días de salir este nuevo CVE, salió un tercero que volvía a indicar que la vulnerabilidad no se había corregido en todos los casos y todavía era explotable, por lo que había que actualizar a la versión 2.17.0
Aunque pueda parecer extraño que Apache no haya podido corregir esta vulnerabilidad de una sola vez, es normal dado que este tipo de vulnerabilidades aparecen en forma de 0day y exigen una corrección de código inmediata por parte del proveedor. Cuando tienes miles de empresas que están utilizando tus servicios y que a su vez ofrecen servicios a millones de clientes que llaman preocupados, la presión puede ser extremadamente alta y pueden ocurrir estos errores.
Be First to Comment