0x00 漏洞概述
|
CVE ID |
CVE-2021-42013 |
时 间 |
2021-10-07 |
|
类 型 |
RCE |
等 级 |
严重 |
|
远程利用 |
是 |
影响范围 |
2.4.49、2.4.50 |
|
攻击复杂度 |
可用性 |
||
|
用户交互 |
所需权限 |
||
|
PoC/EXP |
在野利用 |
是 |
0x01 漏洞详情
Apache HTTP Server 是一个开源、跨平台的 Web 服务器,它在全球范围内被广泛使用。
2021年 10 月 7 日,Apache 软件基金会发布了Apache HTTP Server 2.4.51 ,以修复 Apache HTTP Server 2.4.49 和 2.4.50 中的路径遍历和远程代码执行漏洞(CVE-2021-41773、CVE-2021-42013),目前这些漏洞已被广泛利用。
Apache HTTP Server路径遍历漏洞(CVE-2021-41773)
2021年10月5日,Apache发布更新公告,修复了Apache HTTP Server 2.4.49中的一个路径遍历和文件泄露漏洞(CVE-2021-41773)。
攻击者可以通过路径遍历攻击将 URL 映射到预期文档根目录之外的文件,如果文档根目录之外的文件不受“requireall denied” 访问控制参数的保护,则这些恶意请求就会成功。除此之外,该漏洞还可能会导致泄漏 CGI 脚本等解释文件的来源。
Shodan搜索显示,全球部署有超过十万个,其中许多使用默认配置的服务器中可能存在此漏洞,并且此漏洞目前已被广泛利用,建议相关用户尽快更新。
Apache HTTP Server路径遍历和远程代码执行漏洞(CVE-2021-42013)
由于对CVE-2021-41773的修复不充分,攻击者可以使用路径遍历攻击,将URL映射到由类似别名的指令配置的目录之外的文件,如果这些目录外的文件没有受到默认配置"require all denied "的保护,则这些恶意请求就会成功。如果还为这些别名路径启用了 CGI 脚本,则能够导致远程代码执行。
影响范围
Apache HTTP Server 2.4.49
Apache HTTP Server 2.4.50
0x02 处置建议
目前这些漏洞已经修复,鉴于漏洞的严重性,建议受影响的用户立即升级更新到Apache HTTP Server 2.4.51(已于10月7日发布)或更高版本。
下载链接:
https://httpd.apache.org/download.cgi#apache24
0x03 参考链接
https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2021-42013
http://mail-archives.apache.org/mod_mbox/www-announce/202110.mbox/%[email protected]%3E
https://www.bleepingcomputer.com/news/security/apache-emergency-update-fixes-incomplete-patch-for-exploited-bug/
0x04 更新版本
|
版本 |
日期 |
修改内容 |
|
V1.0 |
2021-10-06 |
首次发布 |
|
V1.1 |
2021-10-08 |
增加CVE-2021-42013漏洞信息等 |
0x05 文档附录
CNVD:www.cnvd.org.cn
CNNVD:www.cnnvd.org.cn
CVE:cve.mitre.org
CVSS:www.first.org
NVD:nvd.nist.gov
0x06 关于我们
关注以下公众号,获取更多资讯:
原文始发于微信公众号(维他命安全):【漏洞通告】Apache远程代码执行漏洞(CVE-2021-42013)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论