查看原文
其他

Apache Server 修复两个高危缺陷

Ryan Naraine 代码卫士 2022-05-23

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士



Apache 软件基金会发布 web 服务器新版本 Apache HTTP Server 2.4.52,修复了两个可导致远程代码执行攻击的高危漏洞。


该新版本被标记为“紧急”,美国政府安全响应机构 CISA 呼吁开源跨平台web 服务器软件用户“尽快予以更新”。

该补丁修复了两个安全漏洞CVE-2021-44790和CVE-2021-44224,其中一个可导致远程攻击者控制受影响系统。

Apache 软件基金会发布安全公告指出,当解析 Apache HTTP Server 2.4.51 及之前版本 mod_lua 中的多部分内容时很可能导致缓冲区溢出 (CVE-2021-44790)。特殊构造的请求主体可触发mod_lua 多部分解析器(从lua脚本调用的 r:parsebody())中产生缓冲区溢出。Apache httpd 团队未发现漏洞遭利用迹象,不过存在构造可能。

Apache 软件基金会提到,CVE-2021-44224是一个位于 Apache HTTP Server 2.4.51及之前版本中正向代理配置中的“中危” NULL 解引用或SSRF。该基金会指出,“被发送到配置为正向代理的httpd 的构造URI可引发崩溃(NULL 指针解引用)或者,对于混合正向和反向代理声明的配置而言,可将请求定向到已声明的 Unix Domain SOCKET 端点中(服务器端请求伪造)。”

Apache HTTP Server 中的这两个安全缺陷列入由CISA维护的“已知的已遭利用漏洞分类”中。从 Netcraft 发布的最新市场共享数据来看,Apache HTTP Server 仍然主导互联网。












推荐阅读
在线阅读版:《2021中国软件供应链安全分析报告》全文Apache Log4j任意代码执行漏洞安全风险通告第三次更新
Apache 紧急修复已遭利用且补丁不完整的 HTTP Server 0day
Apache Struts 和 Spring 开源漏洞状况的对比
Apache OpenOffice 漏洞使数千万用户易受代码执行攻击




原文链接

https://www.securityweek.com/high-risk-flaw-haunts-apache-server


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存