威胁直击 | Apache发布目录遍历漏洞，攻击者可直接控制服务器

漏洞描述

2021年10月08日，亚信安全CERT监控到Apache官方发布了安全更新，修复了Apache HTTP Server 2.4.49（CVE-2021-41773）目录遍历漏洞和Apache HTTP Server 2.4.50（CVE-2021-42013）目录遍历漏洞。此次漏洞影响用户广泛，使用上述两个版本的用户请注意自查，及时升级修复！

Apache HTTP Server是Apache基金会开源的一款HTTP服务器。其可广泛运行在绝大多数电脑操作系统中，由于其具备良好的跨平台性和安全性，使其成为了最流行的Web服务器端软件之一。

亚信安全CERT建议使用Apache HTTP Server的客户尽快自查所使用版本并修复漏洞，同时自查服务器的安全状况。

漏洞编号

• CVE-2021-41773 ：Apache HTTP Server目录遍历漏洞

• CVE-2021-42013 ：Apache HTTP Server目录遍历漏洞

漏洞状态

受影响的版本

Apache HTTP Server 2.4.49 和 2.4.50

修复建议

使用Apache HTTP Server 2.4.49和Apache HTTP Server 2.4.50版本的用户，请尽快升级至最新版本。

参考链接

https://httpd.apache.org/security/vulnerabilities_24.html