聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

研究人员发现此前 Apache 发布的安全更新未能正确修复已遭利用的 0day (CVE-2021-41773)，Apache 软件基金会紧急修复基于此漏洞的新0day (CVE-2021-42013)。

Apache HTTP Server 是一款开源的跨平台 web 服务器，支持全球约25%的网站。本周二，Apache 发布 Apache HTTP 2.4.50，修复版本2.4.49中已遭利用的路径遍历漏洞 (CVE-2021-41773)。该缺陷使威胁行动者能够查看存储在易受攻击服务器上的文件内容。

Apache 在安全公告中指出，“Apache HTTP Server 2.4.49 中路径规范化的变更中存在一个缺陷。攻击者可通过路径遍历攻击将URL映射到预期文档root之外的文件。如果该文档root 之外的文件未受’require all denied’ 保护，则这些请求可成功。另外该缺陷可泄露解释型文件如 CGI 脚本的来源。”

通过在 Shodan 引擎搜索可知，超过11.2万台面向互联网和易受攻击的 Apache HTTP 服务器使攻击者能够攻击大量潜在目标。

更新发布后不久，安全研究员分析并披露了该漏洞起作用的 exploit。更糟糕的是，研究人员还发现，如果加载 mod_cgi 模块且默认的 “Require all denied” 选项缺失，则表明该漏洞可用于执行远程代码。

由于如此多的服务器易受远程代码执行，管理员更应尽早更新 Apache HTTP 服务器。

紧急修复不完整补丁

本周，发现漏洞CVE-2021-41773 的修复方案不完整之后，Apache 发布版本2.4.51。Apache 发布新的安全公告指出，“Apache HTTP Server 2.4.50 中的漏洞CVE-2021-41773 修复方案不充分。攻击者可通过路径遍历攻击将URL映射到由 Alias 等指令配置的目录之外的文件。如果这些目录之外的文件未受默认配置’require all denied’ 的保护，则这些请求可成功。如果 CGI 脚本也为这些路径启用，则可导致远程代码执行后果。“

这个新的路径遍历向量是CVE-2021-42013，由 Dreamlab 技术公司的研究员 Juan Escobar、NULL Life CTF 团队的研究员Fernando Muñoz 以及研究员 Shungo Kumasaka 发现。

美国计算机应急响应小组 (US-CERT) 表示这个新漏洞也遭利用。

漏洞公开后，其它威胁行动者应该会很快创建自己的 exploit。为此，强烈建议管理员立即更新至服务器 Apache HTTP 2.4.51，删除此前补丁遗留的任何攻击向量。

推荐阅读

Apache OpenOffice 漏洞使数千万用户易受代码执行攻击

Apache Struts 和 Spring 开源漏洞状况的对比

开源搜索服务 Apache Solr 出现多个高危漏洞

速修复！开源企业自动化软件 Apache OFBiz 出现严重的 RCE 漏洞

APACHE OFBIZ XML-RPC 反序列化漏洞 (CVE-2020-9496) 的复现与分析

原文链接

https://www.bleepingcomputer.com/news/security/apache-emergency-update-fixes-incomplete-patch-for-exploited-bug/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~