圖片來源: Apache軟體基金會
除了延燒近三個星期的Log4j漏洞後,Apache軟體基金會本周釋出更多人使用的HTTP Server專案最新版2.4.52,以解決2個漏洞,包含一個9.8風險值的重大漏洞。
這次版本是Apache HTTPD 2.4.x分支的最新GA版本。Apache HTTP Server專案提供3000多個檔案,共近百萬行程式碼,可組成不同模組和選項,提供的強大功能及其開源碼特性,讓它成為現今最普及的網頁伺服器,部分情形中用戶直接使用HTTP Server,但它往往包含在企業用戶使用的產品或服務中而不為人知。
根據Apache軟體基金會說明,除了一些功能更新,最新版本主要修補2個漏洞包括CVE-2021-44790及CVE-2021-44224。其中CVE-2021-44790出在HTTP Server中mod_lua元件解析multipart格式的內容過程,攻擊者可傳送惡意呼叫觸發mod-lua multipart解析器的緩衝溢位。本漏洞影響Apache HTTP Server 2.4.51及以前版本,CVSS 3.1風險值9.8,屬重大漏洞。Apache HTTPD團隊尚未接獲開採漏洞的消息。
CVE-2021-44224則是在HTTP Server的正向代理(forward proxy)設定中,攻擊者可傳送惡意URI到HTTPd引發伺服器崩潰。如果HTTP Server是設定為正、逆向混合代理的組態下,則可能允許呼叫導向宣告的Unix Domain Socket端點,引發伺服器端請求偽造(SSRF,Server Side Request Forgery)攻擊。若未使用正向代理組態(關閉ProxyRequest服務)則不受影響。
本漏洞影響Apache HTTP Server 2.4.7到2.4.51版本,CVSS 3.1風險值8.2,屬高度漏洞。
Apache軟體基金會呼籲用戶儘速更新。安全廠商Sophos指出,由於這些漏洞影響的是選用的run time組態,並不會影響所有用戶。但使用Apache HTTP的用戶則面臨伺服器當掉、資料外洩甚至被遠端執行程式碼的安全風險。
線