Apache軟件基金會官方發布任意文件讀取漏洞

近日，Apache軟件基金會官方發布公告，披露了一個Apache HTTP Server任意文件讀取漏洞(CVE-2021-41773)，攻擊者利用漏洞可完全控制服務器。

目前該漏洞POC（概念驗證代碼）已公開，且存在被網絡黑產利用進行挖礦木馬和僵尸網絡等攻擊行為的風險。啟明星辰漏洞掃描產品團隊和基線核查產品團隊在第一時間對這個漏洞進行了緊急響應。

Apache HTTP Server是美國阿帕奇（Apache）基金會的一款開源網頁服務器。該服務器具有快速、可靠且可通過簡單的API進行擴充的特點。Apache HTTP Server 存在任意文件讀取漏洞，攻擊者可利用該漏洞通過一個精心設計的請求URL路徑來讀取任意文件。

該漏洞的綜合評級為“高危”。

數據來源

https://httpd.apache.org/security/vulnerabilities_24.html

漏洞危害

以下產品及版本受到影響：

Apache HTTP Server 2.4.49

漏洞檢測

啟明星辰天鏡脆弱性掃描與管理系統V6.0已于2021年10月8日緊急發布針對該漏洞的升級包，支持對該漏洞進行原理掃描，用戶升級天鏡漏掃產品漏洞庫后即可對該漏洞進行掃描：

6070版本升級包為607000383，升級包下載地址：

https://venustech.download.venuscloud.cn/

請天鏡脆弱性掃描與管理系統V6.0產品的用戶盡快升級到最新版本，及時對該漏洞進行檢測，以便盡快采取防范措施。

啟明星辰天鏡Web應用檢測系統已于2021年10月8日緊急發布針對該漏洞的升級包，支持對該漏洞進行掃描，用戶升級天鏡Web漏掃產品漏洞庫后即可對該漏洞進行掃描：

升級包版本：V2.9.4，升級包下載地址：

https://venustech.download.venuscloud.cn/

請天鏡Web應用檢測系統產品的用戶盡快升級到最新版本，及時對該漏洞進行檢測，以便盡快采取防范措施。

基線核查

啟明星辰安全配置核查管理系統已于2021年10月8日緊急發布針對該漏洞的核查資源包，支持對該漏洞進行核查，用戶升級安全配置核查管理系統資源包后后即可對該漏洞進行核查：

請安全配置核查管理系統產品的用戶盡快升級最新資源包，及時對該漏洞進行檢測，以便盡快采取防范措施。

漏洞修復建議

目前廠商已發布升級補丁以修復漏洞，詳情請關注廠商主頁：

https://httpd.apache.org/