【漏洞通告】Apache远程代码执行漏洞(CVE-2021-42013)

  • A+
所属分类:安全漏洞

0x00 漏洞概述

CVE     ID

CVE-2021-42013

时      间

2021-10-07

类      型

RCE

等      级

严重

远程利用

影响范围

2.4.49、2.4.50

攻击复杂度


可用性


用户交互


所需权限


PoC/EXP


在野利用

 

0x01 漏洞详情

【漏洞通告】Apache远程代码执行漏洞(CVE-2021-42013)

Apache HTTP Server 是一个开源、跨平台的 Web 服务器,它在全球范围内被广泛使用。

2021年 10 月 7 日,Apache 软件基金会发布了Apache HTTP Server 2.4.51 ,以修复 Apache HTTP Server 2.4.49 和 2.4.50 中的路径遍历和远程代码执行漏洞(CVE-2021-41773、CVE-2021-42013),目前这些漏洞已被广泛利用。

Apache HTTP Server路径遍历漏洞(CVE-2021-41773)

2021年10月5日,Apache发布更新公告,修复了Apache HTTP Server 2.4.49中的一个路径遍历和文件泄露漏洞(CVE-2021-41773)。

攻击者可以通过路径遍历攻击将 URL 映射到预期文档根目录之外的文件,如果文档根目录之外的文件不受“requireall denied” 访问控制参数的保护,则这些恶意请求就会成功。除此之外,该漏洞还可能会导致泄漏 CGI 脚本等解释文件的来源。

Shodan搜索显示,全球部署有超过十万个,其中许多使用默认配置的服务器中可能存在此漏洞,并且此漏洞目前已被广泛利用,建议相关用户尽快更新。

【漏洞通告】Apache远程代码执行漏洞(CVE-2021-42013)



 

Apache HTTP Server路径遍历和远程代码执行漏洞(CVE-2021-42013)

由于对CVE-2021-41773的修复不充分,攻击者可以使用路径遍历攻击,将URL映射到由类似别名的指令配置的目录之外的文件,如果这些目录外的文件没有受到默认配置"require all denied "的保护,则这些恶意请求就会成功。如果还为这些别名路径启用了 CGI 脚本,则能够导致远程代码执行。

 

影响范围

Apache HTTP Server 2.4.49

Apache HTTP Server 2.4.50

 

0x02 处置建议

目前这些漏洞已经修复,鉴于漏洞的严重性,建议受影响的用户立即升级更新到Apache HTTP Server 2.4.51(已于10月7日发布)或更高版本。

下载链接:

https://httpd.apache.org/download.cgi#apache24

 

0x03 参考链接

https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2021-42013

http://mail-archives.apache.org/mod_mbox/www-announce/202110.mbox/%[email protected]%3E

https://www.bleepingcomputer.com/news/security/apache-emergency-update-fixes-incomplete-patch-for-exploited-bug/

 

0x04 更新版本

版本

日期

修改内容

V1.0

2021-10-06

首次发布

V1.1

2021-10-08

增加CVE-2021-42013漏洞信息等

 

0x05 文档附录

CNVD:www.cnvd.org.cn

CNNVD:www.cnnvd.org.cn

CVE:cve.mitre.org

CVSS:www.first.org

NVD:nvd.nist.gov

 

0x06 关于我们

关注以下公众号,获取更多资讯:

【漏洞通告】Apache远程代码执行漏洞(CVE-2021-42013)


原文始发于微信公众号(维他命安全):【漏洞通告】Apache远程代码执行漏洞(CVE-2021-42013)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: