×

Apache HTTP Server Project 补丁利用零日漏洞

作者:Web前端之家2021.10.07来源:Web前端之家浏览:230评论:0
关键词:Apache
微信公众号

微信公众号

Apache HTTP Server 项目背后的开发人员正在敦促用户立即应用修复程序以解决零日漏洞。 根据日期为 10 月 5 日的安全公告,已知该漏洞被广泛利用。 

Apache HTTP Server 是一个流行的开源项目,专注于开发适用于包括 UNIX 和 Windows 在内的操作系统的 HTTP 服务器软件。

Apache HTTP Server 2.4.49 版的发布修复了一系列安全漏洞,包括验证绕过错误、空指针取消引用、拒绝服务问题和严重的服务器端请求伪造 (SSRF) 漏洞。 

但是,该更新还无意中引入了一个单独的关键问题:可用于映射和泄漏文件的路径遍历漏洞。 

跟踪为CVE-2021-41773的安全漏洞是由 cPanel 安全团队的 Ash Daulton 在对服务器软件中的路径规范化所做的更改中发现的。 

“攻击者可以使用路径遍历攻击将 URL 映射到预期文档根目录之外的文件,”开发人员说。“如果文档根目录之外的文件不受“要求全部拒绝”的保护,这些请求可能会成功。此外,此缺陷可能会泄漏 CGI 脚本等解释文件的来源。”

Positive Technologies重现了该漏洞,CERT/CC 的漏洞分析师 Will Dormann表示,如果在 Apache HTTP Server 2.4.49 上启用了 mod-cgi 功能,并且缺少默认的 Require all denied 功能,那么“CVE-2021 -41773 就像 RCE [远程代码执行] 一样。”

CVE-2021-41773 仅影响 Apache HTTP Server 2.4.49,因为它是在此更新中引入的,因此该软件的早期版本不受影响。 

昨天,Sonatype 研究人员表示,大约 112,000 台 Apache 服务器正在运行易受攻击的版本,其中大约 40% 位于美国。 

该漏洞于 9 月 29 日被私下报告,并已在 2.4.50 版中修复,并于 10 月 4 日发布。建议用户尽快升级他们的软件版本。 


温馨提示:本文作者系Web前端之家 ,经Web前端之家编辑修改或补充,转载请注明出处和本文链接:
https://jiangweishan.com/article/hulianwang20211007a1.html

网友评论文明上网理性发言 已有0人参与

发表评论:

最新留言

  • Web前端之家

    GoogleAdSense可以的,可以加群主,帮你搞定这事情~~...

  • s121

    GoogleAdSense好弄吗,想弄一个账号。...

  • s121

    不错,正好用到,收藏了!...

  • 访客

    什么机翻...

  • Web前端之家

    只是更轻便,还是有些差距的呢,小项目可以玩玩。...

  • ja124

    这个跟vue和react比,好些吗?...

  • Web前端之家

    OK,已经更新,谢谢!...

  • 韩涛博客

    韩涛博客的域名更换为www.hantaosec.com啦,请更新一下域名哈,谢谢。我还会继续链着咱们...

首页|JavaScript|HTML|HTML4|HTML5|CSS3|开发工具|性能优化|移动开发|前端教程|性能优化|开发工具|酷站欣赏|UI设计|前端教程

Copyright © 2021 Web前端之家(www.jiangweishan.com) 版权所有 All Rights Reserved.
粤ICP备12067512号-1

Copyright Your WebSite.Some Rights Reserved.

Powered By Z-BlogPHP 1.6.8 Valyria