Apache HTTP Server Project 补丁利用零日漏洞

Apache HTTP Server 项目背后的开发人员正在敦促用户立即应用修复程序以解决零日漏洞。 根据日期为 10 月 5 日的安全公告，已知该漏洞被广泛利用。 

Apache HTTP Server 是一个流行的开源项目，专注于开发适用于包括 UNIX 和 Windows 在内的操作系统的 HTTP 服务器软件。

Apache HTTP Server 2.4.49 版的发布修复了一系列安全漏洞，包括验证绕过错误、空指针取消引用、拒绝服务问题和严重的服务器端请求伪造 (SSRF) 漏洞。 

但是，该更新还无意中引入了一个单独的关键问题：可用于映射和泄漏文件的路径遍历漏洞。 

跟踪为CVE-2021-41773的安全漏洞是由 cPanel 安全团队的 Ash Daulton 在对服务器软件中的路径规范化所做的更改中发现的。 

“攻击者可以使用路径遍历攻击将 URL 映射到预期文档根目录之外的文件，”开发人员说。“如果文档根目录之外的文件不受“要求全部拒绝”的保护，这些请求可能会成功。此外，此缺陷可能会泄漏 CGI 脚本等解释文件的来源。”

Positive Technologies重现了该漏洞，CERT/CC 的漏洞分析师 Will Dormann表示，如果在 Apache HTTP Server 2.4.49 上启用了 mod-cgi 功能，并且缺少默认的 Require all denied 功能，那么“CVE-2021 -41773 就像 RCE [远程代码执行] 一样。”

CVE-2021-41773 仅影响 Apache HTTP Server 2.4.49，因为它是在此更新中引入的，因此该软件的早期版本不受影响。 

昨天，Sonatype 研究人员表示，大约 112,000 台 Apache 服务器正在运行易受攻击的版本，其中大约 40% 位于美国。 

该漏洞于 9 月 29 日被私下报告，并已在 2.4.50 版中修复，并于 10 月 4 日发布。建议用户尽快升级他们的软件版本。