圖片來源: Apache軟體基金會
除了延燒近三個星期的Log4j漏洞後,Apache軟體基金會本周釋出更多人使用的HTTP Server專案最新版2.4.52,以解決2個漏洞,包含一個9.8風險值的重大漏洞。
這次版本是Apache HTTPD 2.4.x分支的最新GA版本。Apache HTTP Server專案提供3000多個檔案,共近百萬行程式碼,可組成不同模組和選項,提供的強大功能及其開源碼特性,讓它成為現今最普及的網頁伺服器,部分情形中用戶直接使用HTTP Server,但它往往包含在企業用戶使用的產品或服務中而不為人知。
根據Apache軟體基金會說明,除了一些功能更新,最新版本主要修補2個漏洞包括CVE-2021-44790及CVE-2021-44224。其中CVE-2021-44790出在HTTP Server中mod_lua元件解析multipart格式的內容過程,攻擊者可傳送惡意呼叫觸發mod-lua multipart解析器的緩衝溢位。本漏洞影響Apache HTTP Server 2.4.51及以前版本,CVSS 3.1風險值9.8,屬重大漏洞。Apache HTTPD團隊尚未接獲開採漏洞的消息。
CVE-2021-44224則是在HTTP Server的正向代理(forward proxy)設定中,攻擊者可傳送惡意URI到HTTPd引發伺服器崩潰。如果HTTP Server是設定為正、逆向混合代理的組態下,則可能允許呼叫導向宣告的Unix Domain Socket端點,引發伺服器端請求偽造(SSRF,Server Side Request Forgery)攻擊。若未使用正向代理組態(關閉ProxyRequest服務)則不受影響。
本漏洞影響Apache HTTP Server 2.4.7到2.4.51版本,CVSS 3.1風險值8.2,屬高度漏洞。
Apache軟體基金會呼籲用戶儘速更新。安全廠商Sophos指出,由於這些漏洞影響的是選用的run time組態,並不會影響所有用戶。但使用Apache HTTP的用戶則面臨伺服器當掉、資料外洩甚至被遠端執行程式碼的安全風險。
精選專案.網頁設計.活動網站 / 製造類
網站技術:PHP/MySql
賽車服客製化服務,消費者可將自己喜愛的圖案、LOGO印製在賽車相關商品上。 網站上從選擇產品類型到印製完成,都有詳細說明操作辦法,協助消費者完成自己的客製化賽車商品。
網頁設計.RWD響應式網站 / 教育人文類
發展和推動大學商學院教職員的培訓,從大學商學院的研究及其他協會保持密切聯繫到學術和教育學院。AACSB提供出版品和報告以提升商學院的教育水準。
精選專案.網頁設計.RWD響應式網站.活動網站 / 金融保險業
網站技術:PHP
響應式(RWD)網頁設計,設計UI/UX使用者體驗,可於各種裝置進行網頁瀏覽(PC、平板、手機)。
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策