一、背景描述
Apache HTTPServer是全球使用人数最多的服务器数据库架构软件,而Httpd服务器是Apache产品线下的一款web服务器,常与PHP或Python等CGI脚本一起配合使用,可提供动态web服务。
近日,迪普安全研究院团队监测到Apache HTTPd官方在2021年10月8日发布了安全更新,披露了CVE-2021-42013 Apache HTTPd 2.4.49/2.4.50存在路径穿越漏洞。该漏洞是对CVE-2021-41773 Apache HTTPd 2.4.49 路径穿越漏洞的修复不完善导致的。
由于该漏洞利用难度低且危害大,全球约有十万以上的Apache HTTP服务器在运行易受攻击的版本。迪普科技建议使用Apache Httpd的用户及时修补,做好相关防护措施。
二、严重等级
高危
三、漏洞描述
在CVE-2021-41773 Apache HTTPd 2.4.49 路径穿越漏洞中,攻击者可以使用路径遍历攻击将 URL 映射到预期文档根目录之外的文件。如果文档根目录之外的文件不受`require all denied`的保护,则这些请求会成功执行。另外如果还为这些别名路径启用了 CGI 脚本,则可以允许远程代码执行。
CVE-2021-41773漏洞在v2.4.50版本中进行了修复。但修复版本中只处理了`/xx/.%2e/`这样的路径,而没有正确处理`/.%%32%65/`这种字符串,导致`/.%%32%65/`被带入后续的处理,仍然可造成目录穿越。
攻击者可构造恶意请求绕过补丁,利用穿越漏洞读取到Web目录之外的其他文件。同时若Apache HTTPd开启了CGI支持,攻击者可构造恶意请求执行命令,控制服务器。
四、影响范围
Apache HTTPd 2.4.49
Apache HTTPd 2.4.50
五、解决方案
// 官方解决方案
Apache团队已发布相关漏洞的安全更新,用户可更新到最新的安全版本,链接如下:https://httpd.apache.org/download.cgi#apache24
// 迪普科技解决方案
迪普科技安全研究院在首次监测到Apache Struts远程代码执行漏洞后,就迅速采取了应急措施。
1)使用迪普“慧眼检测平台”检测现网环境中是否存在Apache HTTPd路径穿越漏洞。
2)使用迪普“态势感知平台”检测现网环境中是否存在Apache HTTPd路径穿越漏洞攻击行为。
3)迪普科技安全服务团队可协助客户进行现网Apache HTTPd信息资产的梳理,并帮助客户进行版本升级指导以及安全配置等各种安全加固工作。如服务器疑似被入侵,迪普科技可安排安全服务专家针对网络安全入侵事件,为客户提供快速应急响应支撑服务以及专业的安全建设建议,并指导客户完善安全防护措施。
4)DPtech IPS2000、FW1000将在以下特征库版本中对Apache HTTPd路径穿越漏洞进行有效防护:
◆产品系列:IPS2000,FW1000
◆漏洞库版本:IPS-R3.1.219
5)DPtech WAF3000特征库已支持对Apache HTTPd路径穿越漏洞进行有效防护。
6)迪普科技官网特征库下载地址:http://www.dptech.com/index.php?m=content&c=index&a=lists&catid=57
六、特征库升级指导说明
迪普科技安全产品可以通过升级特征库对Apache Struts远程代码执行漏洞进行有效检测和防护,对应特征库版本号:IPS-R3.1.219。
策略配置参考链接:
http://forum.dptech.com/forum.php?mod=viewthread&tid=5968&extra=
联系我们
迪普科技正在全力跟踪相关漏洞的最新进展。有疑问的客户也可联系迪普科技当地办事处售后人员或拨打客户服务热线电话(400-6100-598),进一步了解相关情况。
原文始发于微信公众号(迪普科技):【漏洞风险通告】Apache HTTPd路径穿越漏洞 (CVE-2021-42013)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论