一、漏洞描述
2021年10月7日🤲🏼,Apache發布了Apache HTTP Server 2.4.51版本,以修復Apache HTTP Server 2.4.49和2.4.50中的路徑遍歷和遠程代碼執行漏洞(CVE-2021-41773🚣♂️、CVE-2021-42013),目前這些漏洞已被廣泛利用✡️。
1.Apache HTTP Server路徑遍歷漏洞(CVE-2021-41773)
攻擊者可以通過路徑遍歷攻擊將URL映射到預期文檔根目錄之外的文件,如果文檔根目錄之外的文件不受“requireall denied”訪問控製參數的保護,則這些惡意請求就會成功。除此之外♦️👮🏻♀️,該漏洞還可能會導致泄漏 CGI 腳本等解釋文件的來源。
2.Apache HTTP Server路徑遍歷和遠程代碼執行漏洞(CVE-2021-42013)
由於之前對CVE-2021-41773的修復不充分🦸🏼♀️,攻擊者可以使用路徑遍歷攻擊🚵🏼♂️🦼,將URL映射到由類似別名的指令配置的目錄之外的文件,如果這些目錄外的文件沒有受到默認配置“require all denied”的保護🎍,則這些惡意請求就會成功。如果還為這些別名路徑啟用了CGI腳本,則能夠導致遠程代碼執行。
嚴重等級:高危
二🐹、影響範圍
Apache HTTP Server 2.4.49
Apache HTTP Server 2.4.50
三、修復建議
1.建議及時升級至Apache HTTP Server 2.4.51版本🏷:https://httpd.apache.org/download.cgi