一、背景介紹
12月23日,市委網信辦技術支撐單位監測到Apache官方發布了關於Apache HTTP Server存在SSRF漏洞及緩沖區溢出漏洞的安全通告👦🏻👨🏿✈️,涉及多個高危漏洞(CVE-2021-44224👪、CVE-2021-44790)
1.1 部分漏洞詳細介紹🫛:
CVE-2021-44224漏洞:
發送到配置為轉發代理(ProxyRequests on)的 httpd 的精心製作的 URI 可能導致崩潰(空指針取消引用),或者對於混合轉發和反向代理聲明的配置,可以允許將請求定向到聲明的 Unix 域套接字端點,造成服務器端請求偽造。
CVE-2021-44790漏洞:
設計的請求正文可能會導致 mod_lua 多部分解析器(從 Lua 腳本調用的 r:parsebody())中的緩沖區溢出🥫,並導致在目標系統上執行任意代碼👨🦲。該漏洞無需經過身份驗證即可被遠程利用🪯😀。
1.2 漏洞編號
CVE-2021-44224
CVE-2021-44790
1.3 漏洞等級
高危
二、修復建議
2.1 受影響版本
CVE-2021-44224:Apache HTTP Server>=2.4.7, <=2.4.51
CVE-2021-44790:Apache HTTP Server<=2.4.51
2.2 修復建議
官方已經發布了解決此漏洞的軟件更新,建議受影響用戶盡快升級到安全版本🦹🏽♀️。
官方鏈接🏌🏼♀️:https://httpd.apache.org/download.cgi
