针对主动利用0天Apache路径遍历进行RCE攻击发布的新补丁
相关标签:
星期四,Apache软件基金会为其HTTP服务器产品发布了额外的安全更新,以补救它所说的“本周早些时候修补的一个积极开发的路径遍历和远程代码执行缺陷”的“不完全修复”。
CVE-2021-42013,新漏洞被识别为,建立在CVE-2021-41773之上,该漏洞影响运行2.4.49版的Apache web服务器,并涉及路径规范化漏洞,使对手能够访问和查看存储在易受攻击服务器上的任意文件
尽管该漏洞已在2.4.50版中由维护人员解决,但在补丁发布一天后,人们知道,如果加载了“mod_cgi”模块,并且没有配置“require all denied”,该漏洞也可能被滥用以获得远程代码执行,促使Apache发布新一轮紧急更新
“发现Apache HTTP服务器2.4.50中CVE-2021-41773的修复程序不足。攻击者可以使用路径遍历攻击将URL映射到类似别名的指令配置的目录之外的文件,”该公司在一份建议中指出。“如果这些目录之外的文件不受通常默认配置‘require all denied’的保护,这些请求可能会成功。如果还为这些别名路径启用了CGI脚本,这可能允许远程代码执行。”
美国网络安全和基础设施安全局(CISA)表示,“正在对易受攻击的系统进行扫描,预计扫描速度会加快,可能会导致攻击,”敦促“如果尚未进行修补,组织应立即修补。”
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
