[[442872]]

2021年12月20日，Apache 軟件基金會和 Apache HTTP 服務(wù)器項目宣布發(fā)布 Apache HTTP Server 2.4.52版本，以解決幾個可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行的安全漏洞。

這些漏洞被追蹤為 CVE-2021-44790 和 CVE-2021-44224，可以導(dǎo)致遠(yuǎn)程代碼執(zhí)行攻擊。其 CVSS 分?jǐn)?shù)分別為 9.8 和 8.2，排名均低于Log4Shell(CVSS 分?jǐn)?shù)為10分)。

其中，CVE-2021-44790是Apache HTTP Server 2.4.51及以前的mod_lua在解析多部分內(nèi)容時可能出現(xiàn)的緩沖區(qū)溢出。Apache httpd團隊沒有發(fā)現(xiàn)在野外有利用這個漏洞的攻擊。

"精心設(shè)計的請求正文可能會導(dǎo)致 mod_lua 多部分解析器(從 Lua 腳本調(diào)用的 r:parsebody())中的緩沖區(qū)溢出。" Apache 發(fā)布的公告寫道。

第二個關(guān)鍵漏洞被追蹤為CVE-2021-44224，是 Apache HTTP Server 2.4.51 及更早版本中，轉(zhuǎn)發(fā)代理配置中可能的 NULL 取消引用或 SSRF。

“發(fā)送到配置為轉(zhuǎn)發(fā)代理(ProxyRequests on)的 httpd 的精心制作的 URI 可能導(dǎo)致崩潰(空指針取消引用)，或者對于混合前向和反向代理聲明的配置，可以允許將請求定向到聲明的 Unix 域套接字端點(服務(wù)器端請求偽造)。”公告顯示。

盡管此嚴(yán)重漏洞已被用于任何野外攻擊，但Apache httpd團隊認(rèn)為它還存在被攻擊者“武器化”的可能。

因此，修補 Apache 網(wǎng)絡(luò)服務(wù)器中的這兩個漏洞成為其首要任務(wù)。

美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局( CISA)發(fā)出警告， 建議用戶和管理員查看 Apache 公告，并盡快更新他們的版本，以免遭受不必要的潛在攻擊。

11 月，德國聯(lián)邦信息安全辦公室 (BSI) 和思科也曾發(fā)出警告，攻擊者正利用 HTTP 服務(wù)器中的另一個服務(wù)器端請求偽造 (SSRF) 漏洞，其編號為 CVE-2021-40438。

參考來源：https://securityaffairs.co/wordpress/126077/security/apache-http-server-flaws.html