关于Apache HTTP Server目录遍历漏洞的安全风险通告

发布者:蔡瑞奎发布时间:2021-10-28浏览次数:1314

   概述  


我中心网络威胁数据联盟成员深信服科技股份有限公司千里目安全实验室近日测到一则Apache HTTP Server官方发布安全补丁的通告,修复了两个严重漏洞



Apache HTTP Server是阿帕奇(Apache)基金会旗下一款开源网页服务器,能在大多数电脑操作系统中运行,由于其具有的跨平台性和安全性的特性,因此被广泛使用,是目前最流行的Web服务器端软件之一。它快速、可靠并且通过简单的API扩展,将Perl/Python等解释器编译到服务器里。




   漏洞详情  



序号
漏洞名称漏洞编号危害等级
1Apache HTTP Server目录遍历漏洞CVE-2021-41773严重
2Apache HTTP Server目录遍历漏洞CVE-2021-42013严重

  

Apache HTTP Server目录遍历漏洞CVE-2021-41773

该漏洞是由于Apache HTTP Server 2.4.49版本存在目录穿越漏洞,攻击者利用该漏洞在未授权的情况下,访问服务器未在httpd配置文件中标记为拒绝请求的文件内容,进而导致敏感信息泄露。


Apache HTTP Server目录遍历漏洞CVE-2021-42013

该漏洞是由于在Apache HTTP Server 2.4.50版本中对CVE-2021-41773修复不够完善,攻击者可利用该漏洞绕过修复补丁,并利用目录穿越攻击访问服务器中一些文件,进而造成敏感信息泄露。若httpd中开启CGI功能,攻击者可以构造恶意请求,造成远程代码执行。


影响版本:

1.Apache HTTP Server 2.4.49

2.Apache HTTP Server 2.4.50 & Apache HTTP Server 2.4.49


影响范围:

Apache HTTP Server具备优秀的跨平台性,可在目前主流的操作系统上运行,由于其强大的功能和跨平台性被广泛使用。可能受漏洞影响的资产广泛分布世界各地。国内主要集中在在广东、北京和浙江等。




  修复建议  



1.如何检测组件系统版本:

 在服务器后台输入命令



httpd -v

 查看当前版本号。



2.官方修复建议:

目前官方已发布最新版本,建议受影响的用户及时更新升级到Apache HTTP Server 2.4.51版本:https://httpd.apache.org/download.cgi



参考链接:

[1] https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2021-42013

[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41773