聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Apache 软件基金会发布 web 服务器新版本 Apache HTTP Server 2.4.52,修复了两个可导致远程代码执行攻击的高危漏洞。

该新版本被标记为“紧急”,美国政府安全响应机构 CISA 呼吁开源跨平台web 服务器软件用户“尽快予以更新”。

该补丁修复了两个安全漏洞CVE-2021-44790和CVE-2021-44224,其中一个可导致远程攻击者控制受影响系统。

Apache 软件基金会发布安全公告指出,当解析 Apache HTTP Server 2.4.51 及之前版本 mod_lua 中的多部分内容时很可能导致缓冲区溢出 (CVE-2021-44790)。特殊构造的请求主体可触发mod_lua 多部分解析器(从lua脚本调用的 r:parsebody())中产生缓冲区溢出。Apache httpd 团队未发现漏洞遭利用迹象,不过存在构造可能。

Apache 软件基金会提到,CVE-2021-44224是一个位于 Apache HTTP Server 2.4.51及之前版本中正向代理配置中的“中危” NULL 解引用或SSRF。该基金会指出,“被发送到配置为正向代理的httpd 的构造URI可引发崩溃(NULL 指针解引用)或者,对于混合正向和反向代理声明的配置而言,可将请求定向到已声明的 Unix Domain SOCKET 端点中(服务器端请求伪造)。”

Apache HTTP Server 中的这两个安全缺陷列入由CISA维护的“已知的已遭利用漏洞分类”中。从 Netcraft 发布的最新市场共享数据来看,Apache HTTP Server 仍然主导互联网。

推荐阅读

在线阅读版:《2021中国软件供应链安全分析报告》全文

Apache Log4j任意代码执行漏洞安全风险通告第三次更新

Apache 紧急修复已遭利用且补丁不完整的 HTTP Server 0day

Apache Struts 和 Spring 开源漏洞状况的对比

Apache OpenOffice 漏洞使数千万用户易受代码执行攻击

原文链接

https://www.securityweek.com/high-risk-flaw-haunts-apache-server

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错,就点个 “在看” 或 "赞” 吧~

Apache Server 修复两个高危缺陷相关推荐

  1. 速更新!流行的开源邮件客户端 Mozilla Thunderbird 91.3修复多个高危缺陷

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Mozilla 发布 Thunderbird 91.3 修复多个高危漏洞,它们可引发拒绝服务.来源欺骗.安全策略绕过和任意代码执行后果.攻击者只 ...

  2. SolarWinds 平台修复两个高危漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 SolarWinds 平台修复了两个高危漏洞,它们可分别导致命令执行和权限提升后果. 其中较为严重的是CVE-2022-36963(CVSS评分 ...

  3. Apache 紧急修复已遭利用且补丁不完整的 HTTP Server 0day

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 研究人员发现此前 Apache 发布的安全更新未能正确修复已遭利用的 0day (CVE-2021-41773),Apache 软件基金会紧急修 ...

  4. Apache Shiro 1.6.0 发布!修复绕过授权高危漏洞

    点击上方蓝色"程序猿DD",选择"设为星标" 回复"资源"获取独家整理的学习资料! 作者 | 冷冷zz 来源 | https://www.o ...

  5. 工业互联网巨头 GE Digital 修复SCADA 软件中的两个高危漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 GE Digital 发布补丁和缓解措施,解决了影响 Proficy CIMPLICITY HMI/SCADA 软件的两个高危漏洞.该软件用于全 ...

  6. 微软紧急更新 Windows 8.1 和 Server 2012 R2,修复两个严重漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 微软为 Windows 8.1.WindowsRT 8.1 和 Windows Server 2012 R2 系统发布紧急带外软件更新 ...

  7. 思科修复 ASA/FTD 防火墙高危缺陷,已遭利用

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 思科修复了一个高危且已遭利用的只读路径遍历漏洞 (CVE-2020-3452),它影响两款防火墙产品的 web 服务接口. 如遭成功利 ...

  8. 谷歌再修复已遭利用的两个高危 Chrome 0day

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 今天,谷歌发布 Chrome 版本 86.0.4240.198,修复了两个已遭利用的 0day.不过这次并不像之前那样由谷歌内部团队发 ...

  9. 阿里云提示有两个高危的漏洞修复教程

    今天登陆阿里云控台,发现阿里云提示有两个高危的漏洞,分别是: RHSA-2018:3092: glibc security, bug fix, and enhancement update RHSA- ...

最新文章

  1. Linux 下软件的安装
  2. Scalability Tradeoffs: Why “The Ethereum
  3. 新版MySQL8.0.22JDBC连接数据库常见问题解决
  4. MySQL的答理证和技艺撑持费用
  5. 【微信网页直接下载app】微信跳转-微信浏览器中直接唤起本地浏览器和App
  6. mui请求php,PHP 怎样处理mui.ajax POST过来的数据?
  7. Oracle创建假脱机文件,oracle – 在sqlplus中假脱机csv文件时的标头格式
  8. python元素定位id和name_python中通过selenium简单操作及元素定位知识点总结
  9. ExtJs4.1目录结构介绍和使用说明[转]
  10. CListCtrl 使用技巧 1
  11. python语言接收信息的内置函数_python接收信息的内置函数是
  12. [转]win7添加xp的快速启动栏
  13. win7计算机出现空白图标,Win7系统桌面图标显示异常变未知白色图标解决方法大全...
  14. win7如何设置以管理员身份运行程序
  15. Linux常用命令学习
  16. c 中服务器多次接受消息,c/s模拟高并发服务器端线程池接收问题
  17. ByVal与ByRef
  18. linux与windows内核哪个难学,国产操作系统为何都基于Linux内核?又和Windows像?
  19. 数据埋点是什么?设置数据埋点的意义?
  20. JavaScript正则表达式验证手机号码

热门文章

  1. Introducing Microsoft Sync Framework: Sync Services for File Systems
  2. 基于 Groovy 的自动化构建工具 Gradle 入门(转)
  3. 2018 Python 开发者调查报告发布,数据出乎你意料吗?
  4. 如何让隐藏在大数据背后的价值发挥出来?
  5. UC:我们是怎么做出 Chromium M35 内核浏览器
  6. ionic 幻灯指令 ion-slide-box
  7. C++ 对象间的赋值与拷贝构造函数
  8. Web应用中优化IBatis性能
  9. android真实项目教程(六)——落叶醉赤壁_by_CJJ
  10. iOS汉字转拼音,日韩文字转拼音