Apache紧急安全更新,新的0day漏洞可以遍历目录并RCE攻击

Apache发布紧急安全更新,新的0day漏洞可以遍历目录并RCE攻击

Apache 软件基金会为其 HTTP Server 产品 Apache 发布了新的安全更新,用于修复本周早些时候修补的积极利用的路径遍历和远程代码执行缺陷。

根据网络安全行业门户极牛网GEEKNB.COM的梳理,该漏洞号为 CVE-2021-42013,正如新漏洞所确定的那样,建立在 CVE-2021-41773 之上,该漏洞影响运行版本 2.4.49 的 Apache Web 服务器并涉及路径规范化错误,该错误可能使攻击者能够访问和查看任意文件存储在易受攻击的服务器上。

尽管维护人员在 2.4.50 版本中解决了该漏洞,但在补丁发布一天后,人们发现如果加载 mod_cgi 模块并且配置“require all denied”时无效,促使 Apache 发布另一轮紧急更新。

发布的新补丁用于积极开发的0日Apache路径遍历RCE攻击

发现 Apache HTTP Server 2.4.50 中针对 CVE-2021-41773 的修复是不够的。攻击者可以使用路径遍历攻击将 URL 映射到类似别名的指令配置的目录之外的文件,如果这些目录之外的文件不受通常的默认配置‘要求全部拒绝’的保护,这些请求可能会成功。如果还为这些别名路径启用了 CGI 脚本,这可能允许远程代码执行。

Apache 软件基金会感谢 Dreamlab Technologies 的 Juan Escobar、NULL Life CTF 团队的 Fernando Muñoz 和 Shungo Kumasaka 报告了该漏洞。鉴于活跃的漏洞利用,强烈建议用户更新到最新版本(2.4.51)以降低与该漏洞相关的风险。

 

Apache紧急安全更新,新的0day漏洞可以遍历目录并RCE攻击

极牛网精选文章《Apache紧急安全更新,新的0day漏洞可以遍历目录并RCE攻击》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/16604.html

(28)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
上一篇 2021年10月7日 上午11:01
下一篇 2021年10月8日 上午11:54

相关推荐

发表评论

登录后才能评论