一、漏洞详情
Apache HTTP Server是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行。
Apache软件基金会发布了Apache HTTP Server 2.4.52版本,修复了Apache HTTP Server中的一个缓冲区溢出漏洞(CVE-2021-44790)和一个服务器端请求伪造漏洞(CVE-2021-44224),详情如下:
CVE-2021-44790:Apache HTTP Server缓冲区溢出漏洞。在Apache HTTP Server 2.4.51及之前版本的mod_lua多部分解析器中解析恶意请求时可能触发缓冲区溢出,并导致在目标系统上执行任意代码。该漏洞无需经过身份验证即可被远程利用。
CVE-2021-44224:Apache HTTP Server SSRF漏洞。在forward proxy(正向代理)配置中可能存在NULL指针取消引用或服务器端请求伪造(SSRF),该漏洞影响了Apache HTTP Server 2.4.7到2.4.51的所有版本。
二、影响范围
CVE-2021-44790:Apache HTTP Server <= 2.4.51
CVE-2021-44224:2.4.7<= Apache HTTP Server <=2.4.51
三、修复建议
目前这些漏洞已经修复,建议受影响的用户及时更新到Apache HTTP Server 2.4.52。
参考链接:https://httpd.apache.org/security/vulnerabilities_24.html