[[442966]]

日前， Apache 軟件基金會(huì)發(fā)布其旗艦 Web 服務(wù)器的新版——Apache HTTP Server 2.4.52，該版本被列為緊急版本，為兩個(gè)記錄在案的安全漏洞(CVE-2021-44790 和 CVE-2021-44224)提供保護(hù)，其中一個(gè)漏洞可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行攻擊。Apache httpd 團(tuán)隊(duì)尚未看到該漏洞的利用，但可能只是時(shí)間問(wèn)題。美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局 CISA 呼吁開(kāi)源跨平臺(tái) Web 服務(wù)器軟件的用戶“盡快更新”。

Apache 軟件基金會(huì)的安全公告指出，在 Apache HTTP Server 2.4.51 及更早版本的 mod_lua 中解析多部分內(nèi)容時(shí)可能出現(xiàn)緩沖區(qū)溢出 ( CVE-2021-44790 )。該開(kāi)源小組還記錄了 CVE-2021-44224 ，這是 Apache HTTP Server 2.4.51 及更早版本中轉(zhuǎn)發(fā)代理配置中的“中等風(fēng)險(xiǎn)”服務(wù)器端請(qǐng)求偽造漏洞(NULL取消引用，即SSRF)。

該基金會(huì)表示，發(fā)送到配置為轉(zhuǎn)發(fā)代理(ProxyRequests on)httpd 的 URI 可能導(dǎo)致崩潰(空指針取消引用)，或者對(duì)于混合轉(zhuǎn)發(fā)和反向代理聲明的配置，可以允許將請(qǐng)求定向到聲明的 Unix 域套接字端點(diǎn)(即服務(wù)器端請(qǐng)求偽造)。Apache HTTP Server 中的安全漏洞已在 CISA 維護(hù)的“已知被利用漏洞目錄”中確定。該機(jī)構(gòu)近期還提醒注意 CVE-2021-40438 ，這是一個(gè)已經(jīng)被廣泛利用的服務(wù)器端請(qǐng)求偽造漏洞。

參考鏈接：https://httpd.apache.org/security/vulnerabilities_24.html

【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文