【安全通报】Apache HTTP Server 路径遍历和远程代码执行漏洞(CVE-2021-42013&CVE-2021-41773)

fmbd  1171天前

图片.png

10月4日,Apache 发布了 Apache HTTP Server 2.4.50 版本,旨在解决Apache HTTP Server 2.4.49 版本的CVE-2021-41773(Apache HTTP Server 路径遍历漏洞),同时,该漏洞利用细节被公开,攻击者可以使用路径遍历攻击读取根目录之外的文件。

近日,研究人员发现之前的安全更新没有正确修复该漏洞,并在2.4.49和2.4.50版本中均存在代码执行漏洞(CVE-2021-41773)。

10月7日,Apache再次发布 Apache HTTP Server 2.4.51版本,该版本为 CVE-2021-41773 的补充修复。攻击者可利用该漏洞在受影响的机器上进行远程代码执行。建议广大用户及时升级至 Apache HTTP Server 2.4.51 版本。

漏洞描述

Apache HTTP Server是阿帕奇(Apache)基金会的一款开源网页服务器。

CVE-2021-42013

攻击者可以使用路径遍历攻击将 URL 映射到由类似别名的指令配置的目录之外的文件。如果这些目录之外的文件不受默认配置"require all denied"的保护,则这些请求可能会成功。如果还为这些别名路径启用了 CGI 脚本,则还可以进行远程代码执行。

该漏洞危害等级:严重

CVE 编号

CVE-2021-42013

FOFA 查询

app="APACHE-Web-Server"

影响范围

影响版本:

Apache HTTP Server 2.4.50
Apache HTTP Server 2.4.49

修复版本:

Apache HTTP Server 2.4.51

根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app="APACHE-Web-Server")共有 124,629,223 个相关服务对外开放。美国使用数量最多,共有 38,494,419 个;德国第二,共有 11,332,725 个;中国第三,共有 10,857,801 个;日本第四,共有 6,660,027 个;法国第五,共有 5,030,941 个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)

图片.png

中国大陆地区广东使用数量最多,共有 1,265,252 个;北京第二,共有 577,639 个;浙江第三,共有 514,747 个;江苏第四,共有 476,953 个;上海第五,共有 452,498 个。

图片.png


Vulfocus 靶场环境

目前 Vulfocus 已经集成 Apache HTTP Server 2.4.49 环境,可通过

docker pull vulfocus/apache-cve_2021_41773:latest

进行拉取运行,也可通过 http://vulfocus.fofa.so/ 进行测试。

image.png

修复建议

及时升级至Apache HTTP Server 2.4.51版本:https://httpd.apache.org/download.cgi

参考

[1] https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2021-42013

[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41773


白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论