美国CISA发布Apache 发布 HTTP Server 2.4.51 版以解决被利用的漏洞的通告,2021 年 10 月 7 日,Apache 软件基金会发布了Apache HTTP Server 2.4.51 版,以解决 Apache HTTP Server 2.4.49 和 2.4 中的路径遍历和远程代码执行漏洞(CVE-2021-41773、CVE-2021-42013)。50. 这些漏洞已被广泛利用。
CISA 还在持续扫描易受攻击的系统,预计扫描速度将加快,可能导致漏洞利用。CISA 敦促组织如果还没有修补就立即修补——这不能等到假期周末之后。
Apache HTTP Server 2.4.50 中对 CVE-2021-41773 的修复不够充分。攻击者可以使用路径遍历攻击将 URL 映射到由类似别名的指令配置的目录之外的文件。如果这些目录之外的文件不受通常的默认配置“要求全部拒绝”的保护,则这些请求可能会成功。如果还为这些别名路径启用了 CGI 脚本,则可以允许远程代码执行。此问题仅影响 Apache 2.4.49 和 Apache 2.4.50,而不影响更早版本。
Apache 感谢 Dreamlab Technologies 的 Juan Escobar、NULL Life CTF 团队的 Fernando Muñoz 和 Shungo Kumasaka 报告了该漏洞。鉴于活跃的漏洞利用,强烈建议用户更新到最新版本(2.4.51)以降低与该漏洞相关的风险。
原文始发于微信公众号(河南等级保护测评):新补丁发布修复0-Day Apache路径遍历到RCE攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论