CVE-2021-41773:ApacheHTTP服务器零日路径开发

阿帕契HTTP服务器项目补丁小于一个月前引入的路径遍历脆弱度

后台

10月5日Apache HTTP服务器项目补丁CVE2021-41773ApacheHTTP服务器路径遍历文件易泄露性,UnixWindows开源网络服务器显示安全咨询CVE2021-41773被野外开发为零日弱点由Ash Dauton安全团队9月29日向Apache HTTP服务器项目披露但没有表示开发CVE-2021-41773检测时间,但有理由认为开发驱动快速释放补丁

Apache HTTP服务器2.4.49(仅该版本)使用后,应更新为2.4.50,因为CVE-2021-41773路径遍历零天漏洞https://t.co/2QiV4h77B4

MarkJCox10月5日2021

分析

CVE2021-41773阿帕契HTTP服务器改版2.4.49路径规范化,9月15日发布Apache HTTP服务器2.4.49版本受此脆弱性影响时,即禁止访问控制配置

默认安装2.4.49时,你只能访问文档root或cgi-bin目录中的东西

MarkJCox10月5日2021

成功开发将使远程攻击者访问脆弱网络服务器文档根外任意文件依据教程, 缺陷还可能泄漏“解释文件源像CGI脚本”, 其中可能包含敏感信息攻击者可用以继续攻击

Shodan搜索显示,近11.2万Apache HTTP服务器运行易损版然而,其他易变网络服务器可配置为不显示版本信息

来源:Shodan2021年10月

在同一发布中,Apache服务器HTTP项目处理CVE2021-41524无效指针易损性可导致拒绝服务条件,该条件也只影响2.4.49版

概念证明

积极技术攻击队PTSwarm宣布上Twitter故能复发易碎性不久后,另一个用户响应概念证明有效载荷.并期望工作开发脚本不久将发布

求解

所有用户应确保更新最新版ApacheHTTP服务器10月7日ApacheHTTP服务器项目发布版2.4.51原创发布量(2.4.50)没有完全地址CVE-2021-41773阿帕契HTTP服务器2.4.49发布日期为2021年9月15日,

识别受影响的系统

可租插件列表识别此脆弱度来因为他们被释放

获取更多信息

• Apache HTTP服务器项目咨询
• 开放Web应用安全项目指南

加入腾布尔安全响应队房东社区

深入了解开云app充值 网络接触平台对现代攻击面进行整体管理

获取a免费30天审判Tenable.io漏洞管理