Apache HTTP Server软件也传2重大漏洞

igame • 2023年9月9日 07:50 • 3C数码

除了延烧近三个星期的Log4j漏洞后，Apache软件基金会本周释出更多人使用的HTTP Server项目最新版2.4.52，以解决2个漏洞，包含一个9.8风险值的重大漏洞。

这次版本是Apache HTTPD 2.4.x分支的最新GA版本。 Apache HTTP Server项目提供3000多个档案，共近百万行代码，可组成不同模块和选项，提供的强大功能及其开源码特性，让它成为现今最普及的网页服务器，部分情形中用户直接使用HTTP Server，但它往往包含在企业用户使用的产品或服务中而不为人知。

根据Apache软件基金会说明，除了一些功能更新，最新版本主要修补2个漏洞包括CVE-2021-44790及CVE-2021-44224。其中CVE-2021-44790出在HTTP Server中mod_lua组件解析multipart格式的内容过程，攻击者可传送恶意呼叫触发mod-lua multipart解析器的缓冲溢位。本漏洞影响Apache HTTP Server 2.4.51及以前版本，CVSS 3.1风险值9.8，属重大漏洞。 Apache HTTPD团队尚未接获开采漏洞的消息。

CVE-2021-44224则是在HTTP Server的正向代理（forward proxy）设定中，攻击者可传送恶意URI到HTTPd引发服务器崩溃。如果HTTP Server是设定为正、逆向混合代理的配置下，则可能允许呼叫导向宣告的Unix Domain Socket端点，引发服务器端请求伪造（SSRF，Server Side Request Forgery）攻击。若未使用正向代理配置（关闭ProxyRequest服务）则不受影响。

本漏洞影响Apache HTTP Server 2.4.7到2.4.51版本，CVSS 3.1风险值8.2，属高度漏洞。

Apache软件基金会呼吁用户尽速更新。安全厂商Sophos指出，由于这些漏洞影响的是选用的run time配置，并不会影响所有用户。但使用Apache HTTP的用户则面临服务器当掉、数据外泄甚至被远程执行代码的安全风险。