Apache Server 修复两个高危缺陷

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

该新版本被标记为“紧急”，美国政府安全响应机构 CISA 呼吁开源跨平台web 服务器软件用户“尽快予以更新”。

该补丁修复了两个安全漏洞CVE-2021-44790和CVE-2021-44224，其中一个可导致远程攻击者控制受影响系统。

Apache 软件基金会发布安全公告指出，当解析 Apache HTTP Server 2.4.51 及之前版本 mod_lua 中的多部分内容时很可能导致缓冲区溢出 (CVE-2021-44790)。特殊构造的请求主体可触发mod_lua 多部分解析器（从lua脚本调用的 r:parsebody()）中产生缓冲区溢出。Apache httpd 团队未发现漏洞遭利用迹象，不过存在构造可能。

Apache 软件基金会提到，CVE-2021-44224是一个位于 Apache HTTP Server 2.4.51及之前版本中正向代理配置中的“中危” NULL 解引用或SSRF。该基金会指出，“被发送到配置为正向代理的httpd 的构造URI可引发崩溃（NULL 指针解引用）或者，对于混合正向和反向代理声明的配置而言，可将请求定向到已声明的 Unix Domain SOCKET 端点中（服务器端请求伪造）。”

Apache HTTP Server 中的这两个安全缺陷列入由CISA维护的“已知的已遭利用漏洞分类”中。从 Netcraft 发布的最新市场共享数据来看，Apache HTTP Server 仍然主导互联网。