现场有坏人

孩子们,不要怕

路是通的,是他们不跑

林世钰 | 这是凌晨四点零八分的中国(诗一首)

她们生命的最后时光,是在那个屋子里待了一百多天

生成图片,分享到微信朋友圈

自由微信安卓APP发布,立即下载! | 提交文章网址
查看原文

Apache 紧急修复已遭利用且补丁不完整的 HTTP Server 0day

LAWRENCE ABRAMS 代码卫士 2022-05-23

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

研究人员发现此前 Apache 发布的安全更新未能正确修复已遭利用的 0day (CVE-2021-41773),Apache 软件基金会紧急修复基于此漏洞的新0day (CVE-2021-42013)。

Apache HTTP Server 是一款开源的跨平台 web 服务器,支持全球约25%的网站。本周二,Apache 发布 Apache HTTP 2.4.50,修复版本2.4.49中已遭利用的路径遍历漏洞 (CVE-2021-41773)。该缺陷使威胁行动者能够查看存储在易受攻击服务器上的文件内容。

Apache 在安全公告中指出,“Apache HTTP Server 2.4.49 中路径规范化的变更中存在一个缺陷。攻击者可通过路径遍历攻击将URL映射到预期文档root之外的文件。如果该文档root 之外的文件未受’require all denied’ 保护,则这些请求可成功。另外该缺陷可泄露解释型文件如 CGI 脚本的来源。”

通过在 Shodan 引擎搜索可知,超过11.2万台面向互联网和易受攻击的 Apache HTTP 服务器使攻击者能够攻击大量潜在目标。

更新发布后不久,安全研究员分析并披露了该漏洞起作用的 exploit。更糟糕的是,研究人员还发现,如果加载 mod_cgi 模块且默认的 “Require all denied” 选项缺失,则表明该漏洞可用于执行远程代码。

由于如此多的服务器易受远程代码执行,管理员更应尽早更新 Apache HTTP 服务器。


紧急修复不完整补丁

本周,发现漏洞CVE-2021-41773 的修复方案不完整之后,Apache 发布版本2.4.51。Apache 发布新的安全公告指出,“Apache HTTP Server 2.4.50 中的漏洞CVE-2021-41773 修复方案不充分。攻击者可通过路径遍历攻击将URL映射到由 Alias 等指令配置的目录之外的文件。如果这些目录之外的文件未受默认配置’require all denied’ 的保护,则这些请求可成功。如果 CGI 脚本也为这些路径启用,则可导致远程代码执行后果。“

这个新的路径遍历向量是CVE-2021-42013,由 Dreamlab 技术公司的研究员 Juan Escobar、NULL Life CTF 团队的研究员Fernando Muñoz 以及研究员 Shungo Kumasaka 发现。

美国计算机应急响应小组 (US-CERT) 表示这个新漏洞也遭利用。

漏洞公开后,其它威胁行动者应该会很快创建自己的 exploit。为此,强烈建议管理员立即更新至服务器 Apache HTTP 2.4.51,删除此前补丁遗留的任何攻击向量。









推荐阅读
Apache OpenOffice 漏洞使数千万用户易受代码执行攻击
Apache Struts 和 Spring 开源漏洞状况的对比
开源搜索服务 Apache Solr 出现多个高危漏洞
速修复!开源企业自动化软件 Apache OFBiz 出现严重的 RCE 漏洞
APACHE OFBIZ XML-RPC 反序列化漏洞 (CVE-2020-9496) 的复现与分析





原文链接

https://www.bleepingcomputer.com/news/security/apache-emergency-update-fixes-incomplete-patch-for-exploited-bug/


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~



文章有问题?点此查看未经处理的缓存