Apache 紧急修复已遭利用且补丁不完整的 HTTP Server 0day
编译:代码卫士
Apache HTTP Server 是一款开源的跨平台 web 服务器,支持全球约25%的网站。本周二,Apache 发布 Apache HTTP 2.4.50,修复版本2.4.49中已遭利用的路径遍历漏洞 (CVE-2021-41773)。该缺陷使威胁行动者能够查看存储在易受攻击服务器上的文件内容。
Apache 在安全公告中指出,“Apache HTTP Server 2.4.49 中路径规范化的变更中存在一个缺陷。攻击者可通过路径遍历攻击将URL映射到预期文档root之外的文件。如果该文档root 之外的文件未受’require all denied’ 保护,则这些请求可成功。另外该缺陷可泄露解释型文件如 CGI 脚本的来源。”
通过在 Shodan 引擎搜索可知,超过11.2万台面向互联网和易受攻击的 Apache HTTP 服务器使攻击者能够攻击大量潜在目标。
更新发布后不久,安全研究员分析并披露了该漏洞起作用的 exploit。更糟糕的是,研究人员还发现,如果加载 mod_cgi 模块且默认的 “Require all denied” 选项缺失,则表明该漏洞可用于执行远程代码。
由于如此多的服务器易受远程代码执行,管理员更应尽早更新 Apache HTTP 服务器。
本周,发现漏洞CVE-2021-41773 的修复方案不完整之后,Apache 发布版本2.4.51。Apache 发布新的安全公告指出,“Apache HTTP Server 2.4.50 中的漏洞CVE-2021-41773 修复方案不充分。攻击者可通过路径遍历攻击将URL映射到由 Alias 等指令配置的目录之外的文件。如果这些目录之外的文件未受默认配置’require all denied’ 的保护,则这些请求可成功。如果 CGI 脚本也为这些路径启用,则可导致远程代码执行后果。“
这个新的路径遍历向量是CVE-2021-42013,由 Dreamlab 技术公司的研究员 Juan Escobar、NULL Life CTF 团队的研究员Fernando Muñoz 以及研究员 Shungo Kumasaka 发现。
美国计算机应急响应小组 (US-CERT) 表示这个新漏洞也遭利用。
漏洞公开后,其它威胁行动者应该会很快创建自己的 exploit。为此,强烈建议管理员立即更新至服务器 Apache HTTP 2.4.51,删除此前补丁遗留的任何攻击向量。
Apache Struts 和 Spring 开源漏洞状况的对比
开源搜索服务 Apache Solr 出现多个高危漏洞
速修复!开源企业自动化软件 Apache OFBiz 出现严重的 RCE 漏洞
APACHE OFBIZ XML-RPC 反序列化漏洞 (CVE-2020-9496) 的复现与分析
https://www.bleepingcomputer.com/news/security/apache-emergency-update-fixes-incomplete-patch-for-exploited-bug/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。