2021年12月20日,Apache软件基金会和ApacheHTTPServer项目宣布发布ApacheHTTPServer2.4.52,以解决可能导致远程代码的几个问题执行安全漏洞。这些漏洞编号为CVE-2021-44790和CVE-2021-44224,可导致远程代码执行攻击。其CVSS评分分别为9.8和8.2,排名低于Log4Shell(CVSS评分为10)。其中,CVE-2021-44790是ApacheHTTPServer2.4.51及之前的mod_lua在解析multipart内容时可能出现的缓冲区溢出问题。Apachehttpd团队不知道在野外利用此漏洞的攻击。“精心设计的请求文字可能会导致mod_lua多部分解析器(从Lua脚本调用r:parsebody())中的缓冲区溢出,”Apache发布公告中写道。第二个严重漏洞,跟踪为CVE-2021-44224,是ApacheHTTPServer2.4.51及更早版本中转发代理配置中可能存在的NULL取消引用或SSRF。“发送到配置为正向代理(ProxyRequestson)的httpd的精心设计的URI可能会导致崩溃(空指针取消引用),或者对于混合正向和反向代理声明的配置,可能允许将请求定向到声明的Unix域套接字端点(服务器端请求伪造),”公告中写道。尽管这个严重漏洞已被用于任何野外攻击,但Apachehttpd团队认为它有可能被攻击者“武器化”。因此,修补ApacheWeb服务器中的这两个漏洞成为其首要任务。美国网络安全和基础设施安全局(CISA)发出警告,建议用户和管理员尽快查看Apache公告并更新其版本,以避免不必要的潜在攻击。11月,德国联邦信息安全办公室(BSI)和思科还警告称,攻击者正在利用HTTP服务器中的另一个服务器端请求伪造(SSRF)漏洞,该漏洞被追踪为CVE-2021-40438。参考来源:https://securityaffairs.co/wordpress/126077/security/apache-http-server-flaws.html
