Apache修补已被开采的资料外泄漏洞

Apache软件基金会（Apache Software Foundation）5日释出了Apache HTTP Server 2.4.50，以修补Apache HTTP Server 2.4.49中的两个安全漏洞，其中的CVE-2021-41773为一资料外泄漏洞，而且已遭骇客开采，使得该基金会呼吁用户应尽速修补。

Apache HTTP Server为一开源的HTTP服务器专案，该专案的目标是提供一个能与现有HTTP标准同步以提供HTTP服务的安全服务器，最新的两个漏洞存在于Apache基金会甫于今年9月16日释出的Apache HTTP Server 2.4.49中。

这两个漏洞分别是CVE-2021-41524与CVE-2021-41773，前者为h2模糊测试的无效指标引用漏洞，将允许外部来源针对服务器进行服务阻断攻击，不过尚未发现开采程式。

CVE-2021-41773则是相对严重的路径穿越（Path Traversal）与档案揭露漏洞，允许骇客将URLs映射到文件根目录（Document Root）以外的档案上，也可能泄露诸如CGI脚本文件等直译档案的来源，而且已经遭到骇客开采。

资安业者PT SWARM表示，该团队已经复制了CVE-2021-41773漏洞，假设文件根目录以外的档案并未受到“拒绝所有要求”（require all denied）的保护，那么骇客就会成功，建议Apache HTTP Server用户应立即修补。

幸好这两个漏洞只影响Apache HTTP Server 2.4.49，并未波及更早的版本，且Apache HTTP Server 2.4.49上线不到一个月，许多用户可能还未升级，缩小了潜在受害者的范围。