日前,Apache软件基金会发布了其旗舰Web服务器的新版本——ApacheHTTPServer2.4。-2021-44790和CVE-2021-44224),其中一个漏洞可能导致远程代码执行攻击。Apachehttpd团队尚未发现该漏洞被利用,但这可能只是时间问题。美国网络安全和基础设施安全局CISA呼吁开源跨平台网络服务器软件的用户“尽快更新”。Apache软件基金会的安全公告指出,在ApacheHTTPServer2.4.51及更早版本上解析mod_lua中的多部分内容时可能存在缓冲区溢出(CVE-2021-44790)。该开源组织还在ApacheHTTPServer2.4.51及更早版本的转发代理配置中记录了CVE-2021-44224,这是一个“中等风险”的服务器端请求伪造漏洞(NULL取消引用或SSRF)。该基金会表示,发送到配置为正向代理(ProxyRequestson)的httpd的URI可能导致崩溃(空指针取消引用),或者对于混合正向和反向代理声明的配置,可以允许将请求定向到声明的Unix域套接字端点(即服务器端请求伪造)。ApacheHTTPServer中的安全漏洞已在CISA维护的已知被利用漏洞目录中识别出来。该机构最近还提醒注意CVE-2021-40438,这是一个被广泛利用的服务器端请求伪造漏洞。参考链接:https://httpd.apache.org/security/vulnerabilities_24.html【本文为专栏作者“安全牛”原创文章,转载请通过安全牛(微信♂id:gooann-sectv)求授权】点此阅读该作者更多好文
