您好,欢迎访问利联科技官网!    24小时服务热线:400-161-0880    新上扬州高防IP,无视市面上任何流量攻击!登录  /  注册  /  旧平台入口

Apache在几天内发布了一个新的更新,修复了一个活跃漏洞的不完整补丁

 

Apache软件基金会发布了HTTP Web服务器2.4.51,以解决一个积极开发的路径遍历漏洞(CVE-2021-41773-),

该漏洞仅部分地与以前的版本一起解决。


攻击者可以触发该漏洞,将URL映射到预期文档根以外的文件。


“在对Apache HTTP Server 2.4.49中的路径规范化所做的更改中发现了一个漏洞。攻击者可以使用路径遍历攻击

将URL映射到预期文档根以外的文件。”警告中写道。如果文档根目录以外的文件不受“require all denied”保护,

则这些请求可能会成功。此外,此漏洞可能会泄漏解释文件(如CGI脚本)的源


该漏洞仅影响版本2.4.49,早期版本不受影响。几天前,Apache发布了Apache HTTP 2.4.50以解决CVE-2021-41

773问题。


Apache HTTP 2.4.50发布后,专家们立即透露,当加载mod_cgi模块且缺少默认的“Require all denied”选项时,

利用该漏洞可能导致远程代码执行。


根据最新的建议,Apache发布了2.4.51版以最终修复该漏洞。这种新的路径遍历缺陷被追踪为CVE-2021-42013。

“发现Apache HTTP Server 2.4.50中CVE-2021-41773的修复程序不足。攻击者可以使用路径遍历攻击将URL映

射到Alias-like指令配置的目录之外的文件,”Apache在更新的公告中宣布。如果这些目录之外的文件不受通常默

认配置“require all denied”的保护,则这些请求可以成功。如果还为这些别名路径启用了CGI脚本,则允许远程

代码执行。


来自Dreamlab Technologies的Juan Escobar、来自NULL Life CTF团队的Fernando Muñoz和Kumasaka顺戈报

告了该漏洞。


美国计算机应急准备小组(US-CERT)警告说,正在对Apache HTTP服务器CVE-2021-41773和CVE-2021-42013

进行的主动扫描可能导致即将被利用,因此,US-CERT敦促各组织立即修补其安装。


您可能还会对下面的文章感兴趣: