2022
01
05

Apache HTTP Server軟體也傳2重大漏洞[轉載於iThome]

關鍵字:網頁設計資訊安全系統開發

圖片來源: Apache軟體基金會

 

除了延燒近三個星期的Log4j漏洞後,Apache軟體基金會本周釋出更多人使用的HTTP Server專案最新版2.4.52,以解決2個漏洞,包含一個9.8風險值的重大漏洞。

這次版本是Apache HTTPD 2.4.x分支的最新GA版本。Apache HTTP Server專案提供3000多個檔案,共近百萬行程式碼,可組成不同模組和選項,提供的強大功能及其開源碼特性,讓它成為現今最普及的網頁伺服器,部分情形中用戶直接使用HTTP Server,但它往往包含在企業用戶使用的產品或服務中而不為人知。

根據Apache軟體基金會說明,除了一些功能更新,最新版本主要修補2個漏洞包括CVE-2021-44790及CVE-2021-44224。其中CVE-2021-44790出在HTTP Server中mod_lua元件解析multipart格式的內容過程,攻擊者可傳送惡意呼叫觸發mod-lua multipart解析器的緩衝溢位。本漏洞影響Apache HTTP Server 2.4.51及以前版本,CVSS 3.1風險值9.8,屬重大漏洞。Apache HTTPD團隊尚未接獲開採漏洞的消息。

CVE-2021-44224則是在HTTP Server的正向代理(forward proxy)設定中,攻擊者可傳送惡意URI到HTTPd引發伺服器崩潰。如果HTTP Server是設定為正、逆向混合代理的組態下,則可能允許呼叫導向宣告的Unix Domain Socket端點,引發伺服器端請求偽造(SSRF,Server Side Request Forgery)攻擊。若未使用正向代理組態(關閉ProxyRequest服務)則不受影響。

本漏洞影響Apache HTTP Server 2.4.7到2.4.51版本,CVSS 3.1風險值8.2,屬高度漏洞。

Apache軟體基金會呼籲用戶儘速更新。安全廠商Sophos指出,由於這些漏洞影響的是選用的run time組態,並不會影響所有用戶。但使用Apache HTTP的用戶則面臨伺服器當掉、資料外洩甚至被遠端執行程式碼的安全風險。

傑立資訊傑立資訊事業有限公司
Powered by AWS Cloud Computing

電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map

© 2019 傑立資訊 All rights reserved.| 網站隱私政策