【漏洞預警】Apache HTTP Server 多個漏洞

1. 通告信息

近日，安識科技A-Team團隊監測到一則 Apache 官方發布安全補丁的通告，共修復了2個安全漏洞，其中包含1個高危漏洞的信息。

對此，安識科技建議廣大用戶及時升級到安全版本,并做好資產自查以及預防工作，以免遭受黑客攻擊。

2. 漏洞概述

(1) CVE-2021-44224: Apache HTTP Server SSRF漏洞

(2) CVE-2021-44790: Apache HTTP Server 緩沖區溢出漏洞

簡述：該漏洞是由于在 mod_lua 中解析 multipart 內容時出現邊界錯誤，攻擊者可利用該漏洞觸發緩沖區溢出并在目標系統上執行任意代碼，最終可獲取服務器最高權限。

3. 漏洞危害

攻擊者可利用該漏洞觸發緩沖區溢出并在目標系統上執行任意代碼，最終可獲取服務器最高權限。

4. 影響版本

Apache HTTP Server SSRF 漏洞：2.4.7 <= Apache HTTP Server<=2.4.51

Apache HTTP Server 緩沖區溢出漏洞：Apache HTTP Server <= 2.4.51

5. 解決方案

當前官方已發布最新版本，建議受影響的用戶及時更新升級到最新版本。鏈接如下：https://httpd.apache.org/download.cgi

6. 時間軸

【-】2021年12月22日 安識科技A-Team團隊監測到Apache 官方發布安全補丁。

【-】2021年12月23日 安識科技A-Team團隊根據補丁信息分析

【-】2021年12月23日 安識科技A-Team團隊發布安全通告