圖片來源: 

背景圖/Photo by Julissa Santana on Unsplash

Apache軟體基金會(Apache Software Foundation)5日釋出了Apache HTTP Server 2.4.50,以修補Apache HTTP Server 2.4.49中的兩個安全漏洞,其中的CVE-2021-41773為一資料外洩漏洞,而且已遭駭客開採,使得該基金會呼籲用戶應儘速修補。

Apache HTTP Server為一開源的HTTP伺服器專案,該專案的目標是提供一個能與現有HTTP標準同步以提供HTTP服務的安全伺服器,最新的兩個漏洞存在於Apache基金會甫於今年9月16日釋出的Apache HTTP Server 2.4.49中。

這兩個漏洞分別是CVE-2021-41524與CVE-2021-41773,前者為h2模糊測試的無效指標引用漏洞,將允許外部來源針對伺服器進行服務阻斷攻擊,不過尚未發現開採程式。

CVE-2021-41773則是相對嚴重的路徑穿越(Path Traversal)與檔案揭露漏洞,允許駭客將URLs映射到文件根目錄(Document Root)以外的檔案上,也可能洩露諸如CGI腳本文件等直譯檔案的來源,而且已經遭到駭客開採。

資安業者PT SWARM表示,該團隊已經複製了CVE-2021-41773漏洞,假設文件根目錄以外的檔案並未受到「拒絕所有要求」(require all denied)的保護,那麼駭客就會成功,建議Apache HTTP Server用戶應立即修補。

幸好這兩個漏洞只影響Apache HTTP Server 2.4.49,並未波及更早的版本,且Apache HTTP Server 2.4.49上線不到一個月,許多用戶可能還未升級,縮小了潛在受害者的範圍。

熱門新聞

Advertisement