2021年12月20日,Apache 手机软件慈善基金会和 Apache HTTP 网络服务器新项目公布发布 Apache HTTP Server 2.4.52版本,以处理好多个很有可能造成远程控制代码执行的安全性漏洞。
这种漏洞被跟踪为 CVE-2021-44790 和 CVE-2021-44224,可以造成远程控制代码执行进攻。其 CVSS 成绩各自为 9.8 和 8.2,排名均小于Log4Shell(CVSS 成绩为10分)。
在其中,CVE-2021-44790是Apache HTTP Server 2.4.51及过去的mod_lua在分析多一部分內容时将会产生的跨站脚本攻击。Apache httpd精英团队沒有发觉在野外有利用这一漏洞的进攻。
"精心策划的要求文章正文很有可能会造成 mod_lua 多一部分在线解析(从 Lua 脚本制作启用的 r:parsebody())中的跨站脚本攻击。" Apache 公布的公示写到。
第二个重要漏洞被跟踪为CVE-2021-44224,是 Apache HTTP Server 2.4.51 及更早版本中,分享代理商配备中有可能的 NULL 撤销引入或 SSRF。
“发送至配备为分享代理商(ProxyRequests on)的 httpd 的纯手工制作的 URI 很有可能造成奔溃(空指针撤销引入),或是针对混和前向和端口转发申明的配备,可以容许将要求定项到申明的 Unix 域tcp协议节点(服务端要求仿冒)。”公示表明。
虽然此比较严重漏洞已被用以一切郊外进攻,但Apache httpd精英团队觉得它还存有被网络攻击“武器化”的很有可能。
因而,修复 Apache 网络服务器中的这两个漏洞变成其重中之重。
英国网络信息安全和基础设施建设安全局( CISA)传出警示, 提议客户和管理人员查询 Apache 公示,并尽早升级她们的版本,以防遭到多余的潜在性进攻。
11 月,德国联邦网络信息安全公司办公室 (BSI) 和思科交换机也曾传出警示,网络攻击正利用 HTTP 网络服务器中的另一个服务端要求仿冒 (SSRF) 漏洞,其识别码为 CVE-2021-40438。
参照来源于:https://securityaffairs.co/wordpress/126077/security/apache-http-server-flaws.html