返回顶部
banner
banner
banner

网络信息安全

风险预警

关于Apache HTTP Server 路径遍历和远程代码执行漏洞(CVE-2021-42013&CVE-2021-41773)的风险预警提示

发布时间:2021-10-08 字体大小: [小] [中][大]

【漏洞描述】

2021107日,Apache发布了Apache HTTP Server 2.4.51版本,以修复Apache HTTP Server 2.4.492.4.50中的路径遍历和远程代码执行漏洞(CVE-2021-41773CVE-2021-42013),目前这些漏洞已被广泛利用。

1.Apache HTTP Server路径遍历漏洞(CVE-2021-41773

攻击者可以通过路径遍历攻击将URL映射到预期文档根目录之外的文件,如果文档根目录之外的文件不受“requireall denied”访问控制参数的保护,则这些恶意请求就会成功。除此之外,该漏洞还可能会导致泄漏 CGI 脚本等解释文件的来源。

2.Apache HTTP Server路径遍历和远程代码执行漏洞(CVE-2021-42013

由于之前对CVE-2021-41773的修复不充分,攻击者可以使用路径遍历攻击,将URL映射到由类似别名的指令配置的目录之外的文件,如果这些目录外的文件没有受到默认配置“require all denied”的保护,则这些恶意请求就会成功。如果还为这些别名路径启用了CGI脚本,则能够导致远程代码执行。

严重等级:高危

【影响范围】

Apache HTTP Server 2.4.49

Apache HTTP Server 2.4.50

【修复建议】

1.建议及时升级至Apache HTTP Server 2.4.51版本:https://httpd.apache.org/download.cgi