關于Apache HTTP Server 多個安全漏洞的預警

近日，國家信息安全漏洞庫（CNNVD）收到關于Apache HTTP Server 代碼問題漏洞（CNNVD-202112-1578、CVE-2021-44224）和Apache HTTP Server 緩沖區錯誤漏洞（CNNVD-202112-1579、CVE-2021-44790）情況的報送。成功利用漏洞的攻擊者，可以構造惡意數據對目標服務器進行攻擊，進而執行任意代碼。Apache HTTP Server 2.4.51及其以下版本均受此漏洞影響。目前，Apache官方已經發布了版本更新修復了該漏洞，建議用戶及時確認產品版本，盡快采取修補措施。

一、漏洞介紹

Apache HTTP Server是美國阿帕奇（Apache）基金會的一款開源網頁服務器。該服務器具有快速、可靠且可通過簡單的API進行擴充的特點。

1、Apache HTTP Server 代碼問題漏洞（CNNVD-202112-1578、CVE-2021-44224）：Apache HTTP Server 中存在代碼問題漏洞，該漏洞源于產品存在空指針引用錯誤，攻擊者可通過該漏洞導致系統崩潰或偽造服務端請求。

2、Apache HTTP Server 緩沖區錯誤漏洞（CNNVD-202112-1579、CVE-2021-44790）：Apache HTTP Server 中存在緩沖區錯誤漏洞，該漏洞源于產品未能正確判斷用戶邊界，攻擊者可通過該漏洞導致緩沖區溢出。

二、危害影響

成功利用漏洞的攻擊者，可以構造惡意數據對目標服務器進行攻擊，進而執行任意代碼。Apache HTTP Server2.4.51及其以下版本均受此漏洞影響。

三、修復建議

目前，Apache官方已經發布了版本更新修復了該漏洞。建議用戶及時確認產品版本，盡快采取修補措施。Apache官方更新鏈接如下：

https://httpd.apache.org/download.cgi#apache24

本通報由CNNVD技術支撐單位——北京鴻騰智能科技有限公司、北京天融信網絡安全技術有限公司、博智安全科技股份有限公司、杰潤鴻遠（北京）科技有限公司、新華三技術有限公司、上海安識網絡科技有限公司、內蒙古洞明科技有限公司、北京華順信安科技有限公司、北京國舜科技股份有限公司等技術支撐單位提供支持。

CNNVD將繼續跟蹤上述漏洞的相關情況，及時發布相關信息。如有需要，可與CNNVD聯系。聯系方式: cnnvdvul@itsec.gov.cn

（來源：CNNVD）