[[442872]]

2021年12月20日，Apache 軟件基金會和 Apache HTTP 服務器項目宣布發布 Apache HTTP Server 2.4.52版本，以解決幾個可能導致遠程代碼執行的安全漏洞。

這些漏洞被追蹤為 CVE-2021-44790 和 CVE-2021-44224，可以導致遠程代碼執行攻擊。其 CVSS 分數分別為 9.8 和 8.2，排名均低于Log4Shell(CVSS 分數為10分)。

其中，CVE-2021-44790是Apache HTTP Server 2.4.51及以前的mod_lua在解析多部分內容時可能出現的緩沖區溢出。Apache httpd團隊沒有發現在野外有利用這個漏洞的攻擊。

"精心設計的請求正文可能會導致 mod_lua 多部分解析器(從 Lua 腳本調用的 r:parsebody())中的緩沖區溢出。" Apache 發布的公告寫道。

第二個關鍵漏洞被追蹤為CVE-2021-44224，是 Apache HTTP Server 2.4.51 及更早版本中，轉發代理配置中可能的 NULL 取消引用或 SSRF。

“發送到配置為轉發代理(ProxyRequests on)的 httpd 的精心制作的 URI 可能導致崩潰(空指針取消引用)，或者對于混合前向和反向代理聲明的配置，可以允許將請求定向到聲明的 Unix 域套接字端點(服務器端請求偽造)。”公告顯示。

盡管此嚴重漏洞已被用于任何野外攻擊，但Apache httpd團隊認為它還存在被攻擊者“武器化”的可能。

因此，修補 Apache 網絡服務器中的這兩個漏洞成為其首要任務。

美國網絡安全和基礎設施安全局( CISA)發出警告， 建議用戶和管理員查看 Apache 公告，并盡快更新他們的版本，以免遭受不必要的潛在攻擊。

11 月，德國聯邦信息安全辦公室 (BSI) 和思科也曾發出警告，攻擊者正利用 HTTP 服務器中的另一個服務器端請求偽造 (SSRF) 漏洞，其編號為 CVE-2021-40438。

參考來源：https://securityaffairs.co/wordpress/126077/security/apache-http-server-flaws.html