APP下载

Apache修补已被开采的资料外泄漏洞

消息来源:baojiabao.com 作者: 发布时间:2024-11-27

报价宝综合消息Apache修补已被开采的资料外泄漏洞
图片来源: 

背景图/Photo by Julissa Santana on Unsplash

Apache软件基金会(Apache Software Foundation)5日释出了Apache HTTP Server 2.4.50,以修补Apache HTTP Server 2.4.49中的两个安全漏洞,其中的CVE-2021-41773为一资料外泄漏洞,而且已遭骇客开采,使得该基金会呼吁用户应尽速修补。

Apache HTTP Server为一开源的HTTP服务器专案,该专案的目标是提供一个能与现有HTTP标准同步以提供HTTP服务的安全服务器,最新的两个漏洞存在于Apache基金会甫于今年9月16日释出的Apache HTTP Server 2.4.49中。

这两个漏洞分别是CVE-2021-41524与CVE-2021-41773,前者为h2模糊测试的无效指标引用漏洞,将允许外部来源针对服务器进行服务阻断攻击,不过尚未发现开采程式。

CVE-2021-41773则是相对严重的路径穿越(Path Traversal)与档案揭露漏洞,允许骇客将URLs映射到文件根目录(Document Root)以外的档案上,也可能泄露诸如CGI脚本文件等直译档案的来源,而且已经遭到骇客开采。

资安业者PT SWARM表示,该团队已经复制了CVE-2021-41773漏洞,假设文件根目录以外的档案并未受到“拒绝所有要求”(require all denied)的保护,那么骇客就会成功,建议Apache HTTP Server用户应立即修补。

幸好这两个漏洞只影响Apache HTTP Server 2.4.49,并未波及更早的版本,且Apache HTTP Server 2.4.49上线不到一个月,许多用户可能还未升级,缩小了潜在受害者的范围。

2021-10-06 15:57:00

相关文章