Apache HTTP Server 高危漏洞的紧急预警
发布时间:2021-12-01
点击数:
Apache HTTP Server 高危漏洞 的紧急预警
一、安全预警
近期,发现 Apache HTTP Server 中存在远程代码执行和路 径遍历高危漏洞,Apache HTTP Server 是阿帕奇(Apache)基 金会的一款开源网页服务器。应用范围较广,因此威胁影响范围 较大。 请各重点单位高度重视,加强网络安全防护,切实保障网络 系统安全稳定运行。
二、事件信息
(一)事件概要
事件名称 :Apache HTTP Server 高危漏洞
CVE 编号:CVE-2021-42013、CVE-2021-41773
威胁类型:远程代码执行 路径遍历
威胁等级:高
受影响的应用版本 :
Apache HTTP Server 2.4.49 版本
Apache HTTP Server 2.4.50 版本
(二)漏洞描述
攻击者可以使用路径遍历攻击将 URL 映射到由类似别名的 指令配置的目录之外的文件。如果这些目录之外的文件不受默认 配置"require all denied"的保护,则这些请求可能会成功。如果 还为这些别名路径启用了 CGI 脚本,则还可以进行远程代码执 行。
(三) 影响范围
Apache HTTP Server 2.4.49 版本
Apache HTTP Server 2.4.50 版本
三、处置建议
(一)解决方案
请及时进行 Apache 版本更新,参考地址如下:
httpd.apache.org/download.cgi#apache24
四、应急处置建议
一旦发现系统中存在漏洞被利用的情况,请您第一时间通知我司,同时开展以下紧急处置:
一是立即断开被入侵的主机系统的网络连接,防止进一步危 害
二是留存相关日志信息;
三是通过“解决方案”加固系统并通过检查确认无相关漏洞 后再恢复网络连接
