Apache Server 修复两个高危缺陷

最新推荐文章于 2023-07-13 13:29:38 发布
最新推荐文章于 2023-07-13 13:29:38 发布
阅读量598 收藏
点赞数
文章标签: 安全 信息安全 java 安全漏洞 proxy
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247509886&idx=1&sn=fae5fbb955c32757c7e2f0e7274b1d93&chksm=ea949614dde31f022c5a0cffb807d5351e4d608e8ba1c0f053d1d571c83c229eea5515426641&scene=126&&sessionid=0
版权

a50f89a47f9d55d7ea53d7961f5d4352.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Apache 软件基金会发布 web 服务器新版本 Apache HTTP Server 2.4.52,修复了两个可导致远程代码执行攻击的高危漏洞。

该新版本被标记为“紧急”,美国政府安全响应机构 CISA 呼吁开源跨平台web 服务器软件用户“尽快予以更新”。

该补丁修复了两个安全漏洞CVE-2021-44790和CVE-2021-44224,其中一个可导致远程攻击者控制受影响系统。

Apache 软件基金会发布安全公告指出,当解析 Apache HTTP Server 2.4.51 及之前版本 mod_lua 中的多部分内容时很可能导致缓冲区溢出 (CVE-2021-44790)。特殊构造的请求主体可触发mod_lua 多部分解析器(从lua脚本调用的 r:parsebody())中产生缓冲区溢出。Apache httpd 团队未发现漏洞遭利用迹象,不过存在构造可能。

Apache 软件基金会提到,CVE-2021-44224是一个位于 Apache HTTP Server 2.4.51及之前版本中正向代理配置中的“中危” NULL 解引用或SSRF。该基金会指出,“被发送到配置为正向代理的httpd 的构造URI可引发崩溃(NULL 指针解引用)或者,对于混合正向和反向代理声明的配置而言,可将请求定向到已声明的 Unix Domain SOCKET 端点中(服务器端请求伪造)。”

Apache HTTP Server 中的这两个安全缺陷列入由CISA维护的“已知的已遭利用漏洞分类”中。从 Netcraft 发布的最新市场共享数据来看,Apache HTTP Server 仍然主导互联网。

推荐阅读

在线阅读版:《2021中国软件供应链安全分析报告》全文

Apache Log4j任意代码执行漏洞安全风险通告第三次更新

Apache 紧急修复已遭利用且补丁不完整的 HTTP Server 0day

Apache Struts 和 Spring 开源漏洞状况的对比

Apache OpenOffice 漏洞使数千万用户易受代码执行攻击

原文链接

https://www.securityweek.com/high-risk-flaw-haunts-apache-server

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

f6a3370a9127af6b5f073fb77c5883a5.png

2dbd5f5aab93548a43b5f6c17a91c171.png

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   559855b492fb5f53a95ae486af94ce58.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2021-44228 log4j RCE漏洞原理详细分析排查和修补
m0_61506558的博客
09-14 1314
影响范围和排查方法1、CVE-2021-44228影响版本使用了log4j的组件,并且版本在 2.x
idea中使用log4j2打印日志
ygd1994的专栏
05-24 1万+
先去下载log4j的jar包,将log4j-api-2.8.2.jar和log4j-core-2.8.2.jar导入到lib目录自定义log4j2.xml文件到src目录下 配置文件如下: <?xml version="1.0" encoding="UTF-8"?> <!-- status : 这个用于设置log4j2自身内部的信息输出,可以不设置,当设置成trace时,会看到log4j2内
VMware 多个产品LOG4J2远程代码执行漏洞-(CVE-2021-44228/CVE-2021-45046)
tamchikit的博客
01-04 1039
VMware 多个产品LOG4J2远程代码执行漏洞-(CVE-2021-44228/CVE-2021-45046)
log4j2漏洞CVE-2021-44228复现笔记(纯步骤过程,没有复杂的知识点)
qq_41132792的博客
05-24 4856
纯粹的一个过程复现,小白向,没有复杂的讲解,按照步骤一步步来就可以成功复现了。
CVE-2021-42013:Apache HTTP Server目录遍历漏洞
weixin_47179815的博客
07-13 2737
该漏洞是由于在Apache HTTP Server 2.4.50版本中对CVE-2021-41773修复不够完善,攻击者可利用该漏洞绕过修复补丁,并利用目录穿越攻击访问服务器中一些文件,进而造成敏感信息泄露。若httpd中开启CGI功能,攻击者可以构造恶意请求,造成远程代码执行。Apache HTTP Server 2.4.50 Apache HTTP Server 2.4.49查询地址:http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202
Apache Http Server安全漏洞解决
热门推荐
DaiSnow的博客
04-21 1万+
场景:公司使用的大数据集群云服务器,安全扫描出严重漏洞,扫描漏洞如下: 安全漏洞扫描报告 端口 协议 服务 严重等级 漏洞 – ICMP – 弱 ICMP timestamp请求响应漏洞 – UDP – 弱 允许Traceroute探测 80 TCP http 严重 严重 严重 严重 严重 弱 OpenSSL 安全漏洞(CVE-2022-0778) Apache HTTP Server 环境问题漏洞(CVE-2022-22720) Apache HTTP Server 输入验证错误漏
web服务器/中间件漏洞系列4:apache漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
11-30 4945
apache 简介: Apache 是世界使用排名第一的Web 服务器软件。它可以运行在几乎所有广泛使用的 计算机平台上,由于其 跨平台 和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充,将 Perl/ Python等 解释器编译到服务器中。 一、多后缀名解析漏洞 复现环境: docker : vulhub/httpd/apache_parsing_vulnerability 1、漏洞简介 漏洞成因: Apache文件解析漏洞与用户的配置有密切的关系,严格来说属.
关于 Apache 常见安全漏洞 --vulhub靶场练习
m0_60742333的博客
03-23 1471
攻击者利用这个漏洞,可以读取位于Apache服务器Web目录以外的其他文件,或者读取Web目录中的脚本文件源码,或者在开启了cgi或cgid的服务器上执行任意命令。以下实验环境皆来自于vulhub实验靶场,如下图示例,下载好vulhub环境进入要测试的漏洞文件夹,使用docker-compose up -d 命令开启实验。7. 将请求方式修改成POST,然后在请求体写入echo,并将数据包放行即可,使用bash进行反弹shell。后缀进行解析,导致绕过一些服务器的安全策略。
CVE-2021-42013 Apache HTTP Server 路径穿越漏洞——漏洞复现
qq_60905276的博客
06-07 4754
Apache 披露了一个在 Apache HTTP Server 2.4.49 上引入的漏洞,称为 CVE-2021-41773。
Apache HTTP Server 安全漏洞CVE-2019-0211)加固指南
乐大厨串串香飘万里
10-11 1410
安全漏洞
Apache HTTP Server API文档
01-13
Apache服务器(httpd)API文档,官方原版,HTML格式。Apache HTTP Server Version 2.4 Documentation.
springboot整合apache ftpserver详细教程(推荐)
08-25
主要介绍了springboot整合apache ftpserver详细教程,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
Apache Ftpserver
最新发布
03-18
Apache Ftpserver Apache FtpServer是100%纯Java FTP服务器。它被设计为基于当前可用的开放协议的完整且 可移植的FTP服务器引擎解决方案。FtpServer可以作为Windows服务或Unix / Linux守护程序独立运行, 也可以...
Apache中启用Server Status配置示例
09-15
主要介绍了Apache中启用Server Status配置示例,本文首先讲解了什么是Apache Server Status,然后给出了配置示例,需要的朋友可以参考下
apache-ftpserver-1.1.1.zip
04-24
在FTP的使用当中,用户经常 遇到两个概念:"下载"(Download)和"上传"(Upload)。"下载"文件就是从远程主机拷贝文件至自己的计算机上;"上传"文件就是将文件 从自己的计算机中拷贝至远程主机上。用Internet语言来...
Apache Tomcat 远程代码执行漏洞(CVE-2019-0232)漏洞复现
ditanji3425的博客
04-18 519
一、 漏洞简介 漏洞编号和级别 CVE编号:CVE-2019-0232,危险级别:高危,CVSS分值:官方未评定。 漏洞概述 Apache Tomcat是美国阿帕奇(Apache)软件基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。 4月11日,Apache官方发布通告称将在最新版本中修复一个远程代...
Apache Http Server 2.2x 与 2.4x 对比
小风波的博客
11-23 1674
首先想说的是,这是两个并行维护的版本,如果你已经在使用2.2并且没有用到2.4的高级特性,完全没有必要升级到2.4。两个版本的配置有很多差异,网上搜到的配置方法不能照搬,切记切记。
Apache HTTP Server漏洞(CVE-2021-41773)
weixin_44769042的博客
10-26 5606
漏洞复现记录--1 搭建环境 容器可以直接从DockerHub使用 dockerpullblueteamsteve/cve-2021-41773:no-cgid 使用: dockerrun-dit-p8080:80blueteamsteve/cve-2021-41773:no-cgid 访问:ip:8080
【漏洞复现】CVE-2021-42342 GoAhead Server
m0_53121608的博客
07-13 93
【漏洞复现】CVE-2021-42342 GoAhead Server
Apache Shiro修复
07-30
根据引用\[1\]和引用\[2\]的信息,Apache Shiro存在一个认证绕过漏洞(CVE-2022-32532)。受影响的版本包括Apache Shiro小于1.9.1和小于1.6.0的版本。官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。你...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值