Apache HTTP Server 多个漏洞风险通告
- 报告编号:B6-2021-122301
- 报告来源:360CERT
- 报告作者:360CERT
- 更新日期:2021-12-23
漏洞简述
2021年12月23日,360CERT监测发现Apache
官方发布了安全通告 ,修复了多个漏洞,其中包含的漏洞编号有:CVE-2021-44224
、CVE-2021-44790
,漏洞等级:高危
,漏洞评分:8.2
。
Apache HTTP Server是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的Web服务器端软件之一。
对此,360CERT建议广大用户及时将Apache HTTP Server
升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
风险等级
360CERT 对该漏洞的评定结果如下
评定方式 | 等级 |
---|---|
威胁等级 | 高危 |
影响面 | 广泛 |
攻击者价值 | 高 |
利用难度 | 中 |
360CERT评分 | 8.2 |
影响版本
组件 | 影响版本 | 安全版本 |
---|---|---|
Apache HTTP Server | <= 2.4.51 | 2.4.52 |
漏洞详情
CVE-2021-44224: Apache HTTP Server服务器端请求伪造漏洞
- CVE: CVE-2021-44224
- 组件: Apache HTTP Server
- 漏洞类型: 服务器端请求伪造
- 影响: 服务器端请求伪造
简述: 由于Apache HTTP Server转发代理配置对于用户提供的输入验证不足,因此远程攻击者可发送恶意构造的HTTP请求,可导致空指针引用和服务端请求伪造风险,利用该漏洞访问服务端内部网络。
CVE-2021-44790: Apache HTTP Server缓冲区溢出漏洞
- CVE: CVE-2021-44790
- 组件: Apache HTTP Server
- 漏洞类型: 缓冲区溢出
- 影响: 任意代码执行
简述: 由于在 mod_lua 多部分解析器(从 Lua 脚本调用的 r:parsebody())中出现边界错误,因此远程攻击者可发送恶意构造的HTTP请求,可导致缓冲区溢出,进而可在目标服务器上执行任意代码。但该模块默认不启用,未启用该模块的Apache HTTP Server不受该漏洞影响。
修补建议
根据影响版本中的信息,排查并升级到安全版本
下载链接:https://httpd.apache.org/download.cgi#apache24
时间线
- 2021-12-21 Apache官方发布通告
- 2021-12-23 360CERT发布通告
参考链接

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
腾讯开源企业级设计体系“TDesign”
12 月 23 日,腾讯开源其企业级设计体系 TDesign ,TDesign 是一款包含完整的设计价值观和视觉风格指南的企业级设计体系,同时也提供丰富的设计资源。该设计体系适用于构建、设计桌面端、移动端以及小程序等多版本的应用程序。 TDesign 包含丰富的可复用设计组件资源,如色彩体系、文字系统、动效设计等,覆盖支持 Axure、Sketch、Figma、Adobe XD 等各类产品设计软件。另外,TDesign还提供了一些辅助设计工具如 Sketch 设计插件,且支持在腾讯Codesign、即时设计、Pixso、墨刀等市面常用设计工具中使用 TDesign 的设计物料。 用户可以按照需求查看TDesign组件的使用教程和代码演示,通过引入组件搭建属于自己的产品界面。 而在产品风格设计方面,TDesign 提供一些成熟的产品视觉风格设计指南,能指引企业一步步完成产品设计。在没有设计师的情况下,也能让产品的设计语言和视觉风格保持一致。 此外,TDesign 还支持个性化设计,用户可以对设计风格进行扩展,将自定义的设计样式梳理归纳,形成一套企业内部的语义化设计规范,方便后续进行统一的...
- 下一篇
企业智能转型对AI技术的挑战及应对,答案是MLOps
企业智能转型对AI技术的挑战及应对,答案是MLOps 前言:笔者在参加12月20日举行的,由LF AI & Data基金会和OpenI启智社区联合举办的2021新一代人工智能院士高峰论坛上分享对于企业智能转型,以及AI技术面临的挑战和应对。 首先什么是企业智能转型? 笔者认为企业智能转型是企业数字化转型的一个较高的阶段,是AI在企业的大规模应用,不是单纯的人脸识别、OCR、语言识别等单个场景的落地,而是用AI来彻底改变企业的核心业务流。达到的效果是:或者彻底改变企业的商业模式,或者在核心效率上有巨大的提升,从而达到企业智能转型的目的。举个例子来说,对于一个连锁餐饮消费企业,它的核心业务流程包括选门店地址、选择商品品类、总店对分店进行铺货和补货、商品促销和线上推荐等,这条核心流程上的多个场景,都采用AI的技术进行优化和重整,从而在多个场景上都取得效率的较多或者较少的提升,累加起来就是效率的巨大提升,从而跟竞争对手相比建立起较大的竞争优势,达到了智能转型的目的。 第四范式在长期帮助1000+企业进行智能转型的过程中,形成了自己独特的企业智能转型方法论---从量变到质变。 把企业的智...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- Windows10,CentOS7,CentOS8安装Nodejs环境
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- CentOS关闭SELinux安全模块
- Linux系统CentOS6、CentOS7手动修改IP地址
- CentOS7,8上快速安装Gitea,搭建Git服务器
- SpringBoot2全家桶,快速入门学习开发网站教程
- 设置Eclipse缩进为4个空格,增强代码规范
- SpringBoot2配置默认Tomcat设置,开启更多高级功能