[[442872]]

2021年12月20日，Apache 軟件基金會(huì)和 Apache HTTP 服務(wù)器項(xiàng)目宣布發(fā)布 Apache HTTP Server 2.4.52版本，以解決幾個(gè)可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行的安全漏洞。

這些漏洞被追蹤為 CVE-2021-44790 和 CVE-2021-44224，可以導(dǎo)致遠(yuǎn)程代碼執(zhí)行攻擊。其 CVSS 分?jǐn)?shù)分別為 9.8 和 8.2，排名均低于Log4Shell(CVSS 分?jǐn)?shù)為10分)。

其中，CVE-2021-44790是Apache HTTP Server 2.4.51及以前的mod_lua在解析多部分內(nèi)容時(shí)可能出現(xiàn)的緩沖區(qū)溢出。Apache httpd團(tuán)隊(duì)沒(méi)有發(fā)現(xiàn)在野外有利用這個(gè)漏洞的攻擊。

"精心設(shè)計(jì)的請(qǐng)求正文可能會(huì)導(dǎo)致 mod_lua 多部分解析器(從 Lua 腳本調(diào)用的 r:parsebody())中的緩沖區(qū)溢出。" Apache 發(fā)布的公告寫(xiě)道。

第二個(gè)關(guān)鍵漏洞被追蹤為CVE-2021-44224，是 Apache HTTP Server 2.4.51 及更早版本中，轉(zhuǎn)發(fā)代理配置中可能的 NULL 取消引用或 SSRF。

“發(fā)送到配置為轉(zhuǎn)發(fā)代理(ProxyRequests on)的 httpd 的精心制作的 URI 可能導(dǎo)致崩潰(空指針取消引用)，或者對(duì)于混合前向和反向代理聲明的配置，可以允許將請(qǐng)求定向到聲明的 Unix 域套接字端點(diǎn)(服務(wù)器端請(qǐng)求偽造)。”公告顯示。

盡管此嚴(yán)重漏洞已被用于任何野外攻擊，但Apache httpd團(tuán)隊(duì)認(rèn)為它還存在被攻擊者“武器化”的可能。

因此，修補(bǔ) Apache 網(wǎng)絡(luò)服務(wù)器中的這兩個(gè)漏洞成為其首要任務(wù)。

美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局( CISA)發(fā)出警告， 建議用戶和管理員查看 Apache 公告，并盡快更新他們的版本，以免遭受不必要的潛在攻擊。

11 月，德國(guó)聯(lián)邦信息安全辦公室 (BSI) 和思科也曾發(fā)出警告，攻擊者正利用 HTTP 服務(wù)器中的另一個(gè)服務(wù)器端請(qǐng)求偽造 (SSRF) 漏洞，其編號(hào)為 CVE-2021-40438。

參考來(lái)源：https://securityaffairs.co/wordpress/126077/security/apache-http-server-flaws.html