Apache Server 修复两个高危缺陷
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Apache 软件基金会发布 web 服务器新版本 Apache HTTP Server 2.4.52,修复了两个可导致远程代码执行攻击的高危漏洞。
该新版本被标记为“紧急”,美国政府安全响应机构 CISA 呼吁开源跨平台web 服务器软件用户“尽快予以更新”。
该补丁修复了两个安全漏洞CVE-2021-44790和CVE-2021-44224,其中一个可导致远程攻击者控制受影响系统。
Apache 软件基金会发布安全公告指出,当解析 Apache HTTP Server 2.4.51 及之前版本 mod_lua 中的多部分内容时很可能导致缓冲区溢出 (CVE-2021-44790)。特殊构造的请求主体可触发mod_lua 多部分解析器(从lua脚本调用的 r:parsebody())中产生缓冲区溢出。Apache httpd 团队未发现漏洞遭利用迹象,不过存在构造可能。
Apache 软件基金会提到,CVE-2021-44224是一个位于 Apache HTTP Server 2.4.51及之前版本中正向代理配置中的“中危” NULL 解引用或SSRF。该基金会指出,“被发送到配置为正向代理的httpd 的构造URI可引发崩溃(NULL 指针解引用)或者,对于混合正向和反向代理声明的配置而言,可将请求定向到已声明的 Unix Domain SOCKET 端点中(服务器端请求伪造)。”
Apache HTTP Server 中的这两个安全缺陷列入由CISA维护的“已知的已遭利用漏洞分类”中。从 Netcraft 发布的最新市场共享数据来看,Apache HTTP Server 仍然主导互联网。
推荐阅读
在线阅读版:《2021中国软件供应链安全分析报告》全文
Apache Log4j任意代码执行漏洞安全风险通告第三次更新
Apache 紧急修复已遭利用且补丁不完整的 HTTP Server 0day
Apache Struts 和 Spring 开源漏洞状况的对比
Apache OpenOffice 漏洞使数千万用户易受代码执行攻击
原文链接
https://www.securityweek.com/high-risk-flaw-haunts-apache-server
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
Apache Server 修复两个高危缺陷相关推荐
- 速更新!流行的开源邮件客户端 Mozilla Thunderbird 91.3修复多个高危缺陷
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Mozilla 发布 Thunderbird 91.3 修复多个高危漏洞,它们可引发拒绝服务.来源欺骗.安全策略绕过和任意代码执行后果.攻击者只 ...
- SolarWinds 平台修复两个高危漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 SolarWinds 平台修复了两个高危漏洞,它们可分别导致命令执行和权限提升后果. 其中较为严重的是CVE-2022-36963(CVSS评分 ...
- Apache 紧急修复已遭利用且补丁不完整的 HTTP Server 0day
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 研究人员发现此前 Apache 发布的安全更新未能正确修复已遭利用的 0day (CVE-2021-41773),Apache 软件基金会紧急修 ...
- Apache Shiro 1.6.0 发布!修复绕过授权高危漏洞
点击上方蓝色"程序猿DD",选择"设为星标" 回复"资源"获取独家整理的学习资料! 作者 | 冷冷zz 来源 | https://www.o ...
- 工业互联网巨头 GE Digital 修复SCADA 软件中的两个高危漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 GE Digital 发布补丁和缓解措施,解决了影响 Proficy CIMPLICITY HMI/SCADA 软件的两个高危漏洞.该软件用于全 ...
- 微软紧急更新 Windows 8.1 和 Server 2012 R2,修复两个严重漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 微软为 Windows 8.1.WindowsRT 8.1 和 Windows Server 2012 R2 系统发布紧急带外软件更新 ...
- 思科修复 ASA/FTD 防火墙高危缺陷,已遭利用
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 思科修复了一个高危且已遭利用的只读路径遍历漏洞 (CVE-2020-3452),它影响两款防火墙产品的 web 服务接口. 如遭成功利 ...
- 谷歌再修复已遭利用的两个高危 Chrome 0day
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 今天,谷歌发布 Chrome 版本 86.0.4240.198,修复了两个已遭利用的 0day.不过这次并不像之前那样由谷歌内部团队发 ...
- 阿里云提示有两个高危的漏洞修复教程
今天登陆阿里云控台,发现阿里云提示有两个高危的漏洞,分别是: RHSA-2018:3092: glibc security, bug fix, and enhancement update RHSA- ...
最新文章
- Linux 下软件的安装
- Scalability Tradeoffs: Why “The Ethereum
- 新版MySQL8.0.22JDBC连接数据库常见问题解决
- MySQL的答理证和技艺撑持费用
- 【微信网页直接下载app】微信跳转-微信浏览器中直接唤起本地浏览器和App
- mui请求php,PHP 怎样处理mui.ajax POST过来的数据?
- Oracle创建假脱机文件,oracle – 在sqlplus中假脱机csv文件时的标头格式
- python元素定位id和name_python中通过selenium简单操作及元素定位知识点总结
- ExtJs4.1目录结构介绍和使用说明[转]
- CListCtrl 使用技巧 1
- python语言接收信息的内置函数_python接收信息的内置函数是
- [转]win7添加xp的快速启动栏
- win7计算机出现空白图标,Win7系统桌面图标显示异常变未知白色图标解决方法大全...
- win7如何设置以管理员身份运行程序
- Linux常用命令学习
- c 中服务器多次接受消息,c/s模拟高并发服务器端线程池接收问题
- ByVal与ByRef
- linux与windows内核哪个难学,国产操作系统为何都基于Linux内核?又和Windows像?
- 数据埋点是什么?设置数据埋点的意义?
- JavaScript正则表达式验证手机号码
热门文章
- Introducing Microsoft Sync Framework: Sync Services for File Systems
- 基于 Groovy 的自动化构建工具 Gradle 入门(转)
- 2018 Python 开发者调查报告发布,数据出乎你意料吗?
- 如何让隐藏在大数据背后的价值发挥出来?
- UC:我们是怎么做出 Chromium M35 内核浏览器
- ionic 幻灯指令 ion-slide-box
- C++ 对象间的赋值与拷贝构造函数
- Web应用中优化IBatis性能
- android真实项目教程(六)——落叶醉赤壁_by_CJJ
- iOS汉字转拼音,日韩文字转拼音