《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 國家漏洞庫CNNVD:關(guān)于Apache HTTP Server代碼問題漏洞的預(yù)警

國家漏洞庫CNNVD:關(guān)于Apache HTTP Server代碼問題漏洞的預(yù)警

2021-10-26
來源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: 漏洞庫 預(yù)警

  近日,國家信息安全漏洞庫(CNNVD)收到關(guān)于Apache HTTP Server代碼問題漏洞(CNNVD-202109-1094、CVE-2021-40438)情況的報送。成功利用漏洞的攻擊者,可以構(gòu)造惡意數(shù)據(jù)對目標(biāo)服務(wù)器進(jìn)行SSRF攻擊。Apache HTTP Server 2.4.48及其以下版本均受此漏洞影響。目前,Apache官方已經(jīng)發(fā)布了版本更新修復(fù)了該漏洞,建議用戶及時確認(rèn)產(chǎn)品版本,盡快采取修補(bǔ)措施。

  一、漏洞介紹

  Apache HTTP Server是美國阿帕奇(Apache)基金會的一款開源網(wǎng)頁服務(wù)器。該服務(wù)器具有快速、可靠且可通過簡單的API進(jìn)行擴(kuò)充的特點。

  Apache HTTP Server存在代碼問題漏洞,該漏洞是由于系統(tǒng)對用戶的輸入沒有進(jìn)行嚴(yán)格的過濾導(dǎo)致,攻擊者可以構(gòu)造惡意數(shù)據(jù)對目標(biāo)服務(wù)器進(jìn)行SSRF攻擊。該漏洞可做為攻擊目標(biāo)服務(wù)器內(nèi)網(wǎng)的跳板,以此對服務(wù)器所在內(nèi)網(wǎng)進(jìn)行端口掃描、攻擊運(yùn)行在內(nèi)網(wǎng)的應(yīng)用程序、下載內(nèi)網(wǎng)資源等。

  二、危害影響

  成功利用漏洞的攻擊者,可以構(gòu)造惡意數(shù)據(jù)對目標(biāo)服務(wù)器進(jìn)行遠(yuǎn)程攻擊。Apache HTTP Server 2.4.48及其以下版本均受此漏洞影響。

  三、修復(fù)建議

  目前,Apache官方已經(jīng)發(fā)布了版本更新修復(fù)了該漏洞。建議用戶及時確認(rèn)產(chǎn)品版本,盡快采取修補(bǔ)措施。Apache官方更新鏈接如下:

  https://httpd.apache.org/download.cgi

  本通報由CNNVD技術(shù)支撐單位——北京知道創(chuàng)宇信息技術(shù)股份有限公司、深信服科技股份有限公司、北京時代新威信息技術(shù)有限公司等技術(shù)支撐單位提供支持。

  CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況,及時發(fā)布相關(guān)信息。如有需要,可與CNNVD聯(lián)系。聯(lián)系方式: cnnvdvul@itsec.gov.cn




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。