Apache HTTP Server 2.4.49 中的路徑穿越漏洞預(yù)警 ( CVE-2021-41773 )

2021-10-06

一、概要

近日，華為云關(guān)注到Apache官方發(fā)布安全公告，披露在Apache HTTP Server 2.4.49版本中存在一處路徑穿越漏洞（CVE-2021-41773），并且POC已經(jīng)被公開(kāi)。如果配置了<Directory />Require all granted</Directory>，遠(yuǎn)程攻擊者可以使用路徑遍歷攻擊訪問(wèn)易受攻擊的Web服務(wù)器上文檔根目錄以外的任意文件；如果Apache HTTP Server 2.4.49開(kāi)啟了CGI，攻擊者還可構(gòu)造惡意請(qǐng)求實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

華為云提醒使用Apache HTTP Server 2.4.49的用戶(hù)盡快安排自檢并做好安全加固。

詳情請(qǐng)參考鏈接：Path traversal and file disclosure vulnerability in Apache HTTP Server 2.4.49 (CVE-2021-41773)

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說(shuō)明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

Apache HTTP Server：2.4.49

安全版本：

Apache HTTP Server：2.4.50

其他非Apache HTTP Server 2.4.49版本

四、漏洞處置

Apache HTTP Server 2.4.49是Apache官方2021年9月15日發(fā)布的版本，如果用戶(hù)還沒(méi)有使用到該版本，不受該漏洞影響，可不做修復(fù)。如果已經(jīng)在使用Apache HTTP Server 2.4.49，目前，官方已在新版本修復(fù)了該漏洞，影響的用戶(hù)需盡快升級(jí)到安全版本：

下載地址：https://httpd.apache.org/download.cgi

華為云WAF具備對(duì)該漏洞防御能力。華為云WAF用戶(hù)將“Web基礎(chǔ)防護(hù)”狀態(tài)設(shè)置為“攔截”模式，具體方法請(qǐng)參見(jiàn)配置Web基礎(chǔ)防護(hù)規(guī)則。

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。