Apache软件基金会(Apache Software Foundation)5日发布了Apache HTTP Server 2.4.50,以修补Apache HTTP Server 2.4.49中的两个安全漏洞,其中的CVE-2021-41773为一资料外泄露洞,而且已遭黑客开采,使得该基金会呼吁用户应尽快修补。
Apache HTTP Server为一开源的HTTP服务器项目,该项目的目标是提供一个能与现有HTTP标准同步以提供HTTP服务的安全服务器,最新的两个漏洞存在于Apache基金会始于今年9月16日发布的Apache HTTP Server 2.4.49中。
这两个漏洞分别是CVE-2021-41524与CVE-2021-41773,前者为h2模糊测试的无效指标引用漏洞,将允许外部来源针对服务器进行服务阻断攻击,不过尚未发现开采程序。
CVE-2021-41773则是相对严重的路径穿越(Path Traversal)与文件披露漏洞,允许黑客将URLs映射到文件根目录(Document Root)以外的文件上,也可能泄露诸如CGI脚本文件等直译文件的来源,而且已经遭到黑客开采。
安全企业PT SWARM表示,该团队已经复制了CVE-2021-41773漏洞,假设文件根目录以外的文件并未受到“拒绝所有要求”(require all denied)的保护,那么黑客就会成功,建议Apache HTTP Server用户应立即修补。
幸好这两个漏洞只影响Apache HTTP Server 2.4.49,并未波及更早的版本,且Apache HTTP Server 2.4.49上线不到一个月,许多用户可能还未升级,缩小了潜在受害者的范围。