Apache HTTP Server 多个漏洞风险通告

• 报告编号：B6-2021-122301
• 报告来源：360CERT
• 报告作者：360CERT
• 更新日期：2021-12-23

漏洞简述

2021年12月23日，360CERT监测发现Apache官方发布了安全通告 ，修复了多个漏洞，其中包含的漏洞编号有：CVE-2021-44224、CVE-2021-44790，漏洞等级：高危，漏洞评分：8.2。

Apache HTTP Server是Apache软件基金会的一个开放源码的网页服务器，可以在大多数计算机操作系统中运行，由于其多平台和安全性被广泛使用，是最流行的Web服务器端软件之一。

对此，360CERT建议广大用户及时将Apache HTTP Server升级到最新版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

风险等级

360CERT 对该漏洞的评定结果如下

评定方式	等级
威胁等级	高危
影响面	广泛
攻击者价值	高
利用难度	中
360CERT评分	8.2

影响版本

组件	影响版本	安全版本
Apache HTTP Server	<= 2.4.51	2.4.52

漏洞详情

CVE-2021-44224: Apache HTTP Server服务器端请求伪造漏洞

• CVE: CVE-2021-44224
• 组件: Apache HTTP Server
• 漏洞类型: 服务器端请求伪造
• 影响: 服务器端请求伪造

简述: 由于Apache HTTP Server转发代理配置对于用户提供的输入验证不足，因此远程攻击者可发送恶意构造的HTTP请求，可导致空指针引用和服务端请求伪造风险，利用该漏洞访问服务端内部网络。

CVE-2021-44790: Apache HTTP Server缓冲区溢出漏洞

• CVE: CVE-2021-44790
• 组件: Apache HTTP Server
• 漏洞类型: 缓冲区溢出
• 影响: 任意代码执行

简述: 由于在 mod_lua 多部分解析器（从 Lua 脚本调用的 r:parsebody()）中出现边界错误，因此远程攻击者可发送恶意构造的HTTP请求，可导致缓冲区溢出，进而可在目标服务器上执行任意代码。但该模块默认不启用，未启用该模块的Apache HTTP Server不受该漏洞影响。

修补建议

根据影响版本中的信息，排查并升级到安全版本

下载链接：https://httpd.apache.org/download.cgi#apache24

时间线

• 2021-12-21 Apache官方发布通告
• 2021-12-23 360CERT发布通告

参考链接

https://httpd.apache.org/security/vulnerabilities_24.html