Apache HTTP Server多个漏洞风险提示:
【漏洞公告】
近日,监测到Apache HTTP Server发布新版本,该版本修复了多个安全漏洞,其中包括CVE-2021-44224(可导致拒绝服务或服务端请求伪造风险)、CVE-2021-44790(缓冲区溢出漏洞),建议使用该组件的用户尽快采取措施。
参考链接:
https://httpd.apache.org/security/vulnerabilities_24.html
【影响范围】
漏洞影响版本:Apache HTTP Server <= 2.4.51
当前安全版本Apache HTTP Server 2.4.52
【漏洞描述】
CVE-2021-44224:Apache HTTP Server 2.4.51及更早版本的转发代理配置中可能存在空指针引用和服务端请求伪造风险,攻击者可通过构造恶意的HTTP请求触发服务器崩溃,或利用该漏洞访问服务端内部网络。
CVE-2021-44790:Apache HTTP Server 2.4.51及更早版本通过mod_lua解析多部分内容时可能出现缓冲区溢出,该漏洞可能被攻击者用于在目标服务器上执行任意代码。该模块默认不启用,未启用该模块的Apache HTTP Server不受该漏洞影响。
【缓解措施】
中危:目前漏洞POC暂未公开,但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码,目前官方已发布安全更新,建议部署相关产品的用户及时测试并升级到漏洞修复的版本。
缓解措施:
1、升级Apache HTTP Server至最新安全版本2.4.52
