Apache 服務器再曝風險漏洞
責編:gltian |2021-12-31 13:56:24
日前, Apache 軟件基金會發布其旗艦 Web 服務器的新版——Apache HTTP Server 2.4.52,該版本被列為緊急版本,為兩個記錄在案的安全漏洞(CVE-2021-44790 和 CVE-2021-44224)提供保護,其中一個漏洞可能導致遠程代碼執行攻擊。Apache httpd 團隊尚未看到該漏洞的利用,但可能只是時間問題。美國網絡安全與基礎設施安全局 CISA 呼吁開源跨平臺 Web 服務器軟件的用戶“盡快更新”。
Apache 軟件基金會的安全公告指出,在 Apache HTTP Server 2.4.51 及更早版本的 mod_lua 中解析多部分內容時可能出現緩沖區溢出 ( CVE-2021-44790 )。該開源小組還記錄了 CVE-2021-44224 ,這是 Apache HTTP Server 2.4.51 及更早版本中轉發代理配置中的“中等風險”服務器端請求偽造漏洞(NULL取消引用,即SSRF)。
該基金會表示,發送到配置為轉發代理(ProxyRequests on)httpd 的 URI 可能導致崩潰(空指針取消引用),或者對于混合轉發和反向代理聲明的配置,可以允許將請求定向到聲明的 Unix 域套接字端點(即服務器端請求偽造)。Apache HTTP Server 中的安全漏洞已在 CISA 維護的“已知被利用漏洞目錄”中確定。該機構近期還提醒注意 CVE-2021-40438 ,這是一個已經被廣泛利用的服務器端請求偽造漏洞。