• 首頁
  • 开源资讯
  • Apache HTTP Server 多个漏洞风险通告 严重漏洞影响上亿个网站

Apache HTTP Server 多个漏洞风险通告 严重漏洞影响上亿个网站

2021-12-24 發表於 开源资讯
  • 报告编号:B6-2021-122301
  • 报告来源:360CERT
  • 报告作者:360CERT
  • 更新日期:2021-12-23

漏洞简述

2021年12月23日,360CERT监测发现Apache官方发布了安全通告 ,修复了多个漏洞,其中包含的漏洞编号有:CVE-2021-44224CVE-2021-44790,漏洞等级:高危,漏洞评分:8.2

Apache HTTP Server是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的Web服务器端软件之一。

对此,360CERT建议广大用户及时将Apache HTTP Server升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

风险等级

360CERT 对该漏洞的评定结果如下

评定方式等级
威胁等级高危
影响面广泛
攻击者价值
利用难度
360CERT评分8.2

影响版本

组件影响版本安全版本
Apache HTTP Server<= 2.4.512.4.52

漏洞详情

CVE-2021-44224: Apache HTTP Server服务器端请求伪造漏洞

  • CVE: CVE-2021-44224
  • 组件: Apache HTTP Server
  • 漏洞类型: 服务器端请求伪造
  • 影响: 服务器端请求伪造

简述: 由于Apache HTTP Server转发代理配置对于用户提供的输入验证不足,因此远程攻击者可发送恶意构造的HTTP请求,可导致空指针引用和服务端请求伪造风险,利用该漏洞访问服务端内部网络。

CVE-2021-44790: Apache HTTP Server缓冲区溢出漏洞

  • CVE: CVE-2021-44790
  • 组件: Apache HTTP Server
  • 漏洞类型: 缓冲区溢出
  • 影响: 任意代码执行

简述: 由于在 mod_lua 多部分解析器(从 Lua 脚本调用的 r:parsebody())中出现边界错误,因此远程攻击者可发送恶意构造的HTTP请求,可导致缓冲区溢出,进而可在目标服务器上执行任意代码。但该模块默认不启用,未启用该模块的Apache HTTP Server不受该漏洞影响。

修补建议

别修了,等死吧

相關推薦

Apache Log4j 发现第五个漏洞,全球上亿网站和开源项目已经陷落

2021-12-17

8 和 CVE-2021-45046 之后发现的第五个 Log4Shell 漏洞。 距离 Apache Log4j “核弹级”漏洞的公开已过去将近一周,在此期间被记录的漏洞总共有两个,分别是 CVE-2021-44228 和 CVE-2021-45046。针对漏洞的补丁版本也早已发布: Apache L

比利时国防部网络遭 Log4shell 漏洞相关的严重网络攻击,泄露隐私数据超亿万

2021-12-23

们遭受了严重的网络攻击,该攻击基于此前我们报导的 Apache Log4j 相关漏洞。强烈的网络攻击导致比利时国防部的一些活动瘫痪,如邮件系统就已经停机了好几天。 比利时相关发言人奥利维尔·塞维林 (Olivier Séverin) 表示:“

苹果开源技术让数百亿 Android 设备面临 RCE 风险

2022-04-25

于 2004 年推出的无损音频编解码技术,苹果于 2011 年在 Apache-2.0 协议下开源了该技术。在尚未开源的时候,ALAC 主要用于苹果自己的 iPod、iPhone、Mac 等设备,如今开源后的 ALAC 已被许多厂商用于非苹果设备上。 虽说苹果开源了

Google 开源 Paranoid,可识别加密漏洞

2022-08-29

ptographic artifacts)中常见漏洞的项目。 Paranoid 支持测试多个加密制品,其中包括如数字签名、通用伪随机数和公钥,以识别由编程错误或使用弱的专有随机数生成器造成的问题。 根据 Google 官方公布的信息显示,Paranoid 可以

研究人员发现 70 个 Web 缓存中毒漏洞,涉及 GitHub/GitLab/oschina 平台

2022-01-06

了自己是如何发现和报告网络缓存漏洞的,其中包括有 Apache Traffic Server、GitHub、GitLab、HackerOne 和 Cloudflare 以及其他服务器。 “一种常见的模式是缓存服务器被配置为只缓存静态文件,这意味着攻击只限于静态文件。即便如此

Azure 应用服务漏洞造成数万个源码库泄露

2021-12-24

但对 PHP、Node、Ruby 和 Python 这些部署在不同 Web 服务器(Apache、Nginx、Flask 等)中的应用而言,这一缓解措施就会无效,从而导致容易受到攻击。“基本上,攻击者所要做的就是从目标应用程序中获取"/.git"目录,并检索其源代码

喜大普奔 Apache Log4j 中出现新的远程代码执行漏洞 这将是log4j出现的第六个严重漏洞 外国人已经过年 漏洞将何去何从?

2021-12-29

Apache Log4j 日志库中发现了另一个严重的远程代码执行漏洞,现在被跟踪为 CVE-2021-44832。这是 Log4j 库中的第五个 RCE 和第六个非常严重的漏洞,其次分别是 CVE-2021-44228 (RCE)、CVE-2021-45046 (RCE) 和 CVE-2021-45105 (DoS 攻击)。 目前,Apache

SecZone 每日安全资讯(2023.10.08)

2023-10-09

- FreeBuf网络安全行业门户】 3. 谷歌为攻击中利用的libwebp漏洞分配了新的最高CVE编号 谷歌已经为最近被攻击利用的libwebp安全漏洞分配了新的最高CVE编号(CVE-2023-5129)。这个零日漏洞在两周前修补过。【VMware Aria Operations for Networ

微软报告了一个 ChromeOS 远程内存损坏漏洞

2022-08-24

存损坏漏洞。 根据介绍,该漏洞被发现于 ChromiumOS Audio Server (CRAS) 中;CRAS 位于操作系统和 ALSA 之间,用于将音频路由到新连接的支持音频的外围设备。此漏洞可以通过操纵音频元数据远程触发,攻击者可能会诱使用户满足这些

openLooKeng 开源社区 Apache Log4j2 高危安全漏洞居然还未修复,建议用户不要升级

2021-12-16

​近日,openLooKeng注意到Apache Log4j2反序列化远程代码执行漏洞(CVE ID为CVE-2021-44228),并修复失败。详细方案如下,建议所有用户不要升级。 Apache Log4j2远程代码执行漏洞修复解决方案 【漏洞描述】 Apache Log4j2是一个基于J

因使用过时 jQuery 版本,7.5 亿个网站存在隐私和安全风险

2023-11-04

有义务升级到一个受支持版本,以实现收益最大化和潜在风险最小化。” OpenJS 基金会执行董事 Robin Bender Ginn 则表示,“当十亿个网站中有四分之三仅仅因为一个开源项目而需要升级时,问题就大了。这让我们相信,公司正在

指针“爆雷”导致公司损失上亿资金

2023-11-16

。 今天的公司拥有更好的流程,但即便如此,还是会有漏洞漏网。谷歌撰写了一篇关于网站可靠性工程 20 年的精彩回顾文章,其中对 2016 年 YouTube 的首次全球故障进行了反思。 对于公司来说,故障的规模是巨大的,每次故障

KeePass 出现严重漏洞,可提取明文主密码

2023-05-21

研究人员发现,KeePass 的主密码有被泄漏的风险。 这个漏洞的 CVE ID 为 CVE-2023-32784,影响了 KeePass 2.x 版本,不法分子可以利用这个漏洞来检索 KeePass 的明文主密码,即使系统没有运行或锁定。 发现该漏洞的安全研究员已在 Git

立即升级 NGINX 以应对漏洞风险

2022-10-21

bsp;ngx_http_mp4_module 及 ngx_http_hls_module 中发现的漏洞——这两个模块用于以 MP4 以及 Apple HTTP Live Streaming (HLS) 格式进行视频流媒体处理。 基本信息 已发现的漏洞均已经上报到通用漏洞披露(CVE),F5 的安全应急

熱門推薦