聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Apache 软件基金会发布 web 服务器新版本 Apache HTTP Server 2.4.52,修复了两个可导致远程代码执行攻击的高危漏洞。
该新版本被标记为“紧急”,美国政府安全响应机构 CISA 呼吁开源跨平台web 服务器软件用户“尽快予以更新”。
该补丁修复了两个安全漏洞CVE-2021-44790和CVE-2021-44224,其中一个可导致远程攻击者控制受影响系统。
Apache 软件基金会发布安全公告指出,当解析 Apache HTTP Server 2.4.51 及之前版本 mod_lua 中的多部分内容时很可能导致缓冲区溢出 (CVE-2021-44790)。特殊构造的请求主体可触发mod_lua 多部分解析器(从lua脚本调用的 r:parsebody())中产生缓冲区溢出。Apache httpd 团队未发现漏洞遭利用迹象,不过存在构造可能。
Apache 软件基金会提到,CVE-2021-44224是一个位于 Apache HTTP Server 2.4.51及之前版本中正向代理配置中的“中危” NULL 解引用或SSRF。该基金会指出,“被发送到配置为正向代理的httpd 的构造URI可引发崩溃(NULL 指针解引用)或者,对于混合正向和反向代理声明的配置而言,可将请求定向到已声明的 Unix Domain SOCKET 端点中(服务器端请求伪造)。”
Apache HTTP Server 中的这两个安全缺陷列入由CISA维护的“已知的已遭利用漏洞分类”中。从 Netcraft 发布的最新市场共享数据来看,Apache HTTP Server 仍然主导互联网。
推荐阅读
Apache Log4j任意代码执行漏洞安全风险通告第三次更新
Apache 紧急修复已遭利用且补丁不完整的 HTTP Server 0day
Apache Struts 和 Spring 开源漏洞状况的对比
Apache OpenOffice 漏洞使数千万用户易受代码执行攻击
原文链接
https://www.securityweek.com/high-risk-flaw-haunts-apache-server
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~