Apache HTTP Server（简称Apache）是Apache软件基金会下开源的一款Web服务器软件，可以在大多数操作系统中运行。由于其跨平台和安全性，被广泛使用，是最流行的Web服务器软件之一。

2021年10月4日，Apache官方发布安全公告，其中修复了一处路径穿越文件读取、命令执行漏洞（CVE-2021-41773）。

然而CVE-2021-41773漏洞的补丁并不完善，因此官方在10月7日再次发布安全公告，针对补丁绕过的漏洞（CVE-2021-42013）进行了修复。

目前Github上已经有研究人员公开了漏洞相关细节。长亭安全研究人员经过研判确认此漏洞危害高，且利用复杂度低。

在Apache HTTP Server 2.4.49版本中引入的针对路径规范化的代码更改中存在安全缺陷，从而导致安全问题：如果文档根目录之外的文件不受require all denied保护，攻击者可以进行路径穿越从而读取服务器上的任意文件。

而且在Apache开启CGI模块的某些情况下，攻击者可以利用此漏洞执行命令从而接管服务器。

CVE-2021-41773漏洞只影响Apache Http Server 2.4.49版本，CVE-2021-42013漏洞只影响2.4.49和2.4.50版本。它们都不影响更早之前的版本。

厂商已发布新版本修复漏洞，请及时自查Apache HTTP Server版本是否在影响范围内，及时将 Apache Http Server更新到安全版本（2.4.51）。

对于无法进行升级的情况，可确认在不影响业务的情况下参考如下缓解方案：

修改Apache Http Server 配置文件：

1. 将根目录访问控制设置为denied

2. 关闭Apache CGI 模块

3. 重启 Apache 服务

• 雷池：雷池可提供虚拟补丁防护，可咨询长亭科技技术支持人员获取雷池虚拟补丁。

• 洞鉴：洞鉴产品界面自定义poc可支持检测该漏洞，可咨询长亭科技技术支持人员获取洞鉴poc脚本。