日前, Apache 软件基金会发布其旗舰 Web 服务器的新版本——Apache HTTP Server 2.4.52,该版本号被列入应急版本号,为2个处理完毕的网络安全问题(CVE-2021-44790 和 CVE-2021-44224)给予维护,在其中一个系统漏洞将会造成远程控制执行命令进攻。Apache httpd 精英团队并未见到该系统漏洞的运用,但很有可能仅仅时间问题。英国网络信息安全与基础设施建设安全局 CISA 号召开源系统混合开发 Web 服务器软件的客户“尽早升级”。
Apache 软件基金会的安全性公示强调,在 Apache HTTP Server 2.4.51 及更早版本号的 mod_lua 中分析多一部分內容时将会发生跨站脚本攻击 ( CVE-2021-44790 )。该开源系统工作组还纪录了 CVE-2021-44224 ,这也是 Apache HTTP Server 2.4.51 及更早版本号中分享代理商配备中的“中等水平风险性”服务器端要求仿冒系统漏洞(NULL撤销引入,即SSRF)。
该基金会表明,发送至配备为分享代理商(ProxyRequests on)httpd 的 URI 很有可能造成奔溃(空指针撤销引入),或是针对混和分享和端口转发申明的配备,可以容许将要求定项到申明的 Unix 域tcp协议节点(即服务器端要求仿冒)。Apache HTTP Server 中的网络安全问题已在 CISA 维护保养的“已经知道被运用系统漏洞文件目录”中明确。该组织最近还提示留意 CVE-2021-40438 ,这是一个早已被普遍运用的服务器端要求仿冒系统漏洞。
参照连接:https://httpd.apache.org/security/vulnerabilities_24.html
【文中是51CTO栏目创作者“i春秋”的原创文章内容,转截请根据i春秋(微信公众平台id:gooann-sectv)获得受权】
戳这儿,看该创作者大量好文章