圖片來源: Apache軟體基金會
除了延燒近三個星期的Log4j漏洞後,Apache軟體基金會本周釋出更多人使用的HTTP Server專案最新版2.4.52,以解決2個漏洞,包含一個9.8風險值的重大漏洞。
這次版本是Apache HTTPD 2.4.x分支的最新GA版本。Apache HTTP Server專案提供3000多個檔案,共近百萬行程式碼,可組成不同模組和選項,提供的強大功能及其開源碼特性,讓它成為現今最普及的網頁伺服器,部分情形中用戶直接使用HTTP Server,但它往往包含在企業用戶使用的產品或服務中而不為人知。
根據Apache軟體基金會說明,除了一些功能更新,最新版本主要修補2個漏洞包括CVE-2021-44790及CVE-2021-44224。其中CVE-2021-44790出在HTTP Server中mod_lua元件解析multipart格式的內容過程,攻擊者可傳送惡意呼叫觸發mod-lua multipart解析器的緩衝溢位。本漏洞影響Apache HTTP Server 2.4.51及以前版本,CVSS 3.1風險值9.8,屬重大漏洞。Apache HTTPD團隊尚未接獲開採漏洞的消息。
CVE-2021-44224則是在HTTP Server的正向代理(forward proxy)設定中,攻擊者可傳送惡意URI到HTTPd引發伺服器崩潰。如果HTTP Server是設定為正、逆向混合代理的組態下,則可能允許呼叫導向宣告的Unix Domain Socket端點,引發伺服器端請求偽造(SSRF,Server Side Request Forgery)攻擊。若未使用正向代理組態(關閉ProxyRequest服務)則不受影響。
本漏洞影響Apache HTTP Server 2.4.7到2.4.51版本,CVSS 3.1風險值8.2,屬高度漏洞。
Apache軟體基金會呼籲用戶儘速更新。安全廠商Sophos指出,由於這些漏洞影響的是選用的run time組態,並不會影響所有用戶。但使用Apache HTTP的用戶則面臨伺服器當掉、資料外洩甚至被遠端執行程式碼的安全風險。
精選專案.企業形象網站.Line OA / 休閒餐飲類
網站技術:PHP/MySql
達日好胖卡推出點數及票劵LINE官方帳號喔,功能有點數集點/兌換/轉讓,甚至也有票劵功能,像是餐劵、遊戲劵等等。適用於公司、學校與社區活動,便利性極高的LINE OA 官方帳號。
精選專案.網頁設計.RWD響應式網站.企業形象網站 / 電子科技類
網站技術:Javascript
服務範圍從商家、醫院到家庭都有機會可以看到建碁的商品,大到像是購物中心、超市的電視牆與店家使用的觸碰螢幕;小到醫院使用的醫療螢幕、電競螢幕或是家庭投影機..等等。
網頁設計.RWD響應式網站 / 休閒餐飲類
網站技術:PHP . Javascript/MySql . ORACLE
定期至人事系統取回員工資訊(含職級、個人基本資料)
定期將e-Learning系統中的訓練時數回傳至「人事系統」進行薪資的計算。
系統中的訓練時數回傳至並進行薪資計算
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策