当前位置: > Linux安全 >

Apache HTTP Server 多个漏洞风险通告

时间:2021-12-23 16:02来源:linux.it.net.cn 作者:IT
报告编号:B6-2021-122301
报告来源:360CERT
报告作者:360CERT
更新日期:2021-12-23
漏洞简述
2021年12月23日,360CERT监测发现Apache官方发布了安全通告 ,修复了多个漏洞,其中包含的漏洞编号有:CVE-2021-44224、CVE-2021-44790,漏洞等级:高危,漏洞评分:8.2。

Apache HTTP Server是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的Web服务器端软件之一。

对此,360CERT建议广大用户及时将Apache HTTP Server升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

风险等级
360CERT 对该漏洞的评定结果如下

评定方式 等级
威胁等级 高危
影响面 广泛
攻击者价值 高
利用难度 中
360CERT评分 8.2
影响版本
组件 影响版本 安全版本
Apache HTTP Server <= 2.4.51 2.4.52
漏洞详情
CVE-2021-44224: Apache HTTP Server服务器端请求伪造漏洞
CVE: CVE-2021-44224
组件: Apache HTTP Server
漏洞类型: 服务器端请求伪造
影响: 服务器端请求伪造
简述: 由于Apache HTTP Server转发代理配置对于用户提供的输入验证不足,因此远程攻击者可发送恶意构造的HTTP请求,可导致空指针引用和服务端请求伪造风险,利用该漏洞访问服务端内部网络。

CVE-2021-44790: Apache HTTP Server缓冲区溢出漏洞
CVE: CVE-2021-44790
组件: Apache HTTP Server
漏洞类型: 缓冲区溢出
影响: 任意代码执行
简述: 由于在 mod_lua 多部分解析器(从 Lua 脚本调用的 r:parsebody())中出现边界错误,因此远程攻击者可发送恶意构造的HTTP请求,可导致缓冲区溢出,进而可在目标服务器上执行任意代码。但该模块默认不启用,未启用该模块的Apache HTTP Server不受该漏洞影响。

修补建议
根据影响版本中的信息,排查并升级到安全版本

下载链接:https://httpd.apache.org/download.cgi#apache24

时间线
2021-12-21 Apache官方发布通告
2021-12-23 360CERT发布通告
参考链接
https://httpd.apache.org/security/vulnerabilities_24.html


(责任编辑:IT)
------分隔线----------------------------
栏目列表
推荐内容