Apache在几天内发布了一个新的更新,修复了一个活跃漏洞的不完整补丁
Apache软件基金会发布了HTTP Web服务器2.4.51,以解决一个积极开发的路径遍历漏洞(CVE-2021-41773-),
该漏洞仅部分地与以前的版本一起解决。
攻击者可以触发该漏洞,将URL映射到预期文档根以外的文件。
“在对Apache HTTP Server 2.4.49中的路径规范化所做的更改中发现了一个漏洞。攻击者可以使用路径遍历攻击
将URL映射到预期文档根以外的文件。”警告中写道。如果文档根目录以外的文件不受“require all denied”保护,
则这些请求可能会成功。此外,此漏洞可能会泄漏解释文件(如CGI脚本)的源。
该漏洞仅影响版本2.4.49,早期版本不受影响。几天前,Apache发布了Apache HTTP 2.4.50以解决CVE-2021-41
773问题。
Apache HTTP 2.4.50发布后,专家们立即透露,当加载mod_cgi模块且缺少默认的“Require all denied”选项时,
利用该漏洞可能导致远程代码执行。
根据最新的建议,Apache发布了2.4.51版以最终修复该漏洞。这种新的路径遍历缺陷被追踪为CVE-2021-42013。
“发现Apache HTTP Server 2.4.50中CVE-2021-41773的修复程序不足。攻击者可以使用路径遍历攻击将URL映
射到Alias-like指令配置的目录之外的文件,”Apache在更新的公告中宣布。如果这些目录之外的文件不受通常默
认配置“require all denied”的保护,则这些请求可以成功。如果还为这些别名路径启用了CGI脚本,则允许远程
代码执行。
来自Dreamlab Technologies的Juan Escobar、来自NULL Life CTF团队的Fernando Muñoz和Kumasaka顺戈报
告了该漏洞。
美国计算机应急准备小组(US-CERT)警告说,正在对Apache HTTP服务器CVE-2021-41773和CVE-2021-42013
进行的主动扫描可能导致即将被利用,因此,US-CERT敦促各组织立即修补其安装。