Apache Portable Runtime越界讀取漏洞（CVE-2021-35940）預警

一、漏洞情況

8月23日，Apache發布了Apache Portable Runtime 1.7.0版本存在越界讀取漏洞的風險通告，該漏洞CVE編號：CVE-2021-35940。攻擊者可利用該漏洞讀取內存內容或執行拒絕服務攻擊。建議受影響用戶及時更新漏洞補丁進行防護，做好資產自查以及預防工作，以免遭受黑客攻擊。

二、漏洞等級

高危

三、漏洞描述

Apache Portable Runtime（APR，Apache可移植運行庫）是美國阿帕奇（Apache）基金會的一個為上層應用程序提供可跨越多個操作系統平臺使用的底層支持接口庫。

該漏洞源于apr_time_exp*()函數中的越界數組讀取錯誤，遠程攻擊者可通過創建特制的文件并誘導用戶打開，觸發越界讀取錯誤，從而實現讀取內存內容或執行拒絕服務攻擊。

四、影響范圍

Apache Portable Runtime 1.7.0

五、安全建議

目前廠商已發布補丁修復該漏洞，建議受影響的用戶盡快安裝更新。

下載鏈接：

https://downloads.apache.org/apr/patches/apr-1.7.0-CVE-2021-35940.patch

六、參考鏈接

• https://lists.apache.org/thread.html/rb1f3c85f50fbd924a0051675118d1609e57957a02ece7facb723155b@%3Cannounce.apache.org%3E
• http://www.openwall.com/lists/oss-security/2021/08/23/1