一、漏洞描述
2021年10月7日,Apache发布了Apache HTTP Server 2.4.51版本,以修复Apache HTTP Server 2.4.49和2.4.50中的路径遍历和远程代码执行漏洞(CVE-2021-41773、CVE-2021-42013),目前这些漏洞已被广泛利用。
1.Apache HTTP Server路径遍历漏洞(CVE-2021-41773)
攻击者可以通过路径遍历攻击将URL映射到预期文档根目录之外的文件,如果文档根目录之外的文件不受“requireall denied”访问控制参数的保护,则这些恶意请求就会成功。除此之外,该漏洞还可能会导致泄漏 CGI 脚本等解释文件的来源。
2.Apache HTTP Server路径遍历和远程代码执行漏洞(CVE-2021-42013)
由于之前对CVE-2021-41773的修复不充分,攻击者可以使用路径遍历攻击,将URL映射到由类似别名的指令配置的目录之外的文件,如果这些目录外的文件没有受到默认配置“require all denied”的保护,则这些恶意请求就会成功。如果还为这些别名路径启用了CGI脚本,则能够导致远程代码执行。
严重等级:高危
二、影响范围
Apache HTTP Server 2.4.49
Apache HTTP Server 2.4.50
三、修复建议
1.建议及时升级至Apache HTTP Server 2.4.51版本:https://httpd.apache.org/download.cgi