GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

【缝隙公告】Apache远程代码执行缝隙（CVE-2021-42013）

颁布功夫 2021-10-08

0x00 缝隙概述

CVE ID	CVE-2021-42013	时间	2021-10-07
类型	RCE	等级	严沉
远程利用	是	影响领域	2.4.49、2.4.50
攻击复杂度		可用性
用户交互		所需权限
PoC/EXP		在野利用	是

0x01 缝隙详情

Apache HTTP Server 是一个开源、跨平台的 Web 服务器，它在全球领域内被宽泛使用。

2021 年 10 月 7 日，Apache 软件基金会颁布了Apache HTTP Server 2.4.51 ，以建复 Apache HTTP Server 2.4.49 和 2.4.50 中的蹊径遍历和远程代码执行缝隙（CVE-2021-41773、CVE-2021-42013），目前这些缝隙已被宽泛利用。

Apache HTTP Server蹊径遍历缝隙（CVE-2021-41773）

2021年10月5日，Apache颁布更新布告，建复了Apache HTTP Server 2.4.49中的一个蹊径遍历和文件泄露缝隙（CVE-2021-41773）。

攻击者能够通过蹊径遍历攻击将 URL 映射到预期文档根目录之表的文件，若是文档根目录之表的文件不受“require all denied” 接见节造参数的�；�，则这些恶意要求就会成功。除此之表，该缝隙还可能会导致泄漏 CGI 剧本等诠释文件的起源。

Shodan搜索显示，全球部署有超过十万个，其中很多服务器中可能存在此缝隙，并且此缝隙目前已被宽泛利用，建议有关用户尽快更新。

Apache HTTP Server蹊径遍历和远程代码执行缝隙（CVE-2021-42013）

由于对CVE-2021-41773的建复不充分，攻击者能够使用蹊径遍历攻击，将URL映射到由类似别号的指令配置的目录之表的文件，若是这些目录表的文件没有受到默认配置"require all denied "的�；�，则这些恶意要求就会成功。若是还为这些别号蹊径启用了 CGI 剧本，则可能导致远程代码执行。

影响领域

Apache HTTP Server 2.4.49

Apache HTTP Server 2.4.50

0x02 措置建议

目前这些缝隙已经建复，鉴于缝隙的严沉性，建议受影响的用户当即升级更新到Apache HTTP Server 2.4.51（已于10月7日颁布）或更高版本。

下载链接：

https://httpd.apache.org/download.cgi#apache24

0x03 参考链接

https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2021-42013

http://mail-archives.apache.org/mod_mbox/www-announce/202110.mbox/%3C7c4d9498-09ce-c4b4-b1c7-d55512fdc0b0@apache.org%3E

https://www.bleepingcomputer.com/news/security/apache-emergency-update-fixes-incomplete-patch-for-exploited-bug/

0x04 更新版本

版本	日期	批改内容
V1.0	2021-10-06	初次颁布
V1.1	2021-10-08	增长CVE-2021-42013缝隙信息等

0x05 文档附录

CNVD：www.cnvd.org.cn

CNNVD：www.cnnvd.org.cn

CVE：cve.mitre.org

CVSS：www.first.org

NVD：nvd.nist.gov

0x06 关于GA黄金甲

关注以下公家号，获取更多资讯：

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】