|
周四,Apache 发布了针对 CVE-2021-41773 的其他修复程序,因为政府机构警告说,与 Apache HTTP Server 问题相关的一个漏洞已被广泛利用。 Apache HTTP 服务器项目背后的开发人员敦促用户立即应用修复程序以解决零日漏洞。 Apache 软件基金会发布了 Apache HTTP Server 版本 2.4.50,以解决两个允许攻击者控制受影响系统的漏洞。在周三的通知中,CISA 表示其中一个漏洞 CVE-2021-41773 已经被广泛利用。 发现 Apache HTTP Server 2.4.50 中针对 CVE-2021-41773 的修复是不够的。攻击者可以使用路径遍历攻击将 URL 映射到类似 Alias 指令配置的目录之外的文件。如果文件超出这些目录不受通常的默认配置“要求全部拒绝”的保护,这些请求可以成功。如果还为这些别名路径启用了 CGI 脚本,则可以允许远程代码执行。 这个问题只影响 Apache 2.4.49 和 Apache 2.4.50,而不影响更早的版本。 对 Apache HTTP Server CVE-2021-41773 和 CVE-2021-42013 的主动扫描正在进行中,预计会加速,可能会导致漏洞利用。 这些漏洞已被广泛利用。如果你还没有修补,请立即修补——这不能等到周末之后。 全球约有 25% 的网站由开源、跨平台的 Apache HTTP Server 提供支持。 研究人员表示,大约有 112,000 台 Apache 服务器正在运行易受攻击的版本,其中大约 40% 位于美国。 Rapid7 Labs 表示,它在周三确定了大约 65,000 个暴露在公共互联网上的潜在易受攻击的 Apache httpd 版本。 研究人员说,这个问题正在积极地在野外进行扫描。 该漏洞本身在正常或默认条件下无法利用。此问题将产生的最大影响将是打包 Apache 2.4.49 的应用程序和启用该漏洞的配置。一个这样的应用程序是 Control Webpanel(也称为 CentOS Webpanel),托管提供商使用它来管理网站,类似于 cPanel。 目前有超过 21,000 个这些面向互联网并且看起来很容易受到攻击。 高级安全研究员补充说,预计这会产生一些影响,但可能不会普遍存在。与最近与 Confluence 或 VMware 相关的漏洞相比,他说针对这个问题的漏洞利用的紧迫性和有效性没有上升到类似的水平。 除了错误配置之外的任何事情都可能成为对特定应用程序的有针对性的攻击。
| 
