圖片來源: Apache軟體基金會
除了延燒近三個星期的Log4j漏洞後,Apache軟體基金會本周釋出更多人使用的HTTP Server專案最新版2.4.52,以解決2個漏洞,包含一個9.8風險值的重大漏洞。
這次版本是Apache HTTPD 2.4.x分支的最新GA版本。Apache HTTP Server專案提供3000多個檔案,共近百萬行程式碼,可組成不同模組和選項,提供的強大功能及其開源碼特性,讓它成為現今最普及的網頁伺服器,部分情形中用戶直接使用HTTP Server,但它往往包含在企業用戶使用的產品或服務中而不為人知。
根據Apache軟體基金會說明,除了一些功能更新,最新版本主要修補2個漏洞包括CVE-2021-44790及CVE-2021-44224。其中CVE-2021-44790出在HTTP Server中mod_lua元件解析multipart格式的內容過程,攻擊者可傳送惡意呼叫觸發mod-lua multipart解析器的緩衝溢位。本漏洞影響Apache HTTP Server 2.4.51及以前版本,CVSS 3.1風險值9.8,屬重大漏洞。Apache HTTPD團隊尚未接獲開採漏洞的消息。
CVE-2021-44224則是在HTTP Server的正向代理(forward proxy)設定中,攻擊者可傳送惡意URI到HTTPd引發伺服器崩潰。如果HTTP Server是設定為正、逆向混合代理的組態下,則可能允許呼叫導向宣告的Unix Domain Socket端點,引發伺服器端請求偽造(SSRF,Server Side Request Forgery)攻擊。若未使用正向代理組態(關閉ProxyRequest服務)則不受影響。
本漏洞影響Apache HTTP Server 2.4.7到2.4.51版本,CVSS 3.1風險值8.2,屬高度漏洞。
Apache軟體基金會呼籲用戶儘速更新。安全廠商Sophos指出,由於這些漏洞影響的是選用的run time組態,並不會影響所有用戶。但使用Apache HTTP的用戶則面臨伺服器當掉、資料外洩甚至被遠端執行程式碼的安全風險。
網頁設計.企業形象網站 / 建築設計類
網站技術:PHP . Javascript/MySql
無彩色的灰適切的襯扥作品的豐富味道,層次感由深淺色打造,大面積的作品圖建構出空間的品味。
網頁設計.RWD響應式網站.行動版網站.企業形象網站 / 製造類
網站技術:PHP . Javascript/MySql
提供季節、生活、廚房、健康與美容家電產品,並提良好售後服務的家電供應商。
網頁設計.RWD響應式網站.企業形象網站 / 服務類
網站技術:PHP . Javascript/MySql
向以勞動法專業律師團隊自詡,提供最專業法律相關服務的律師事務所暨企業管理顧問。
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策