Apache针对HTTP服务器的新安全更新修复了两个缺陷

据ZDNet12月23日报道,Apache软件基金会发布了一项更新,以解决其Web服务器的一个关键缺陷,该缺陷允许远程攻击者控制一个脆弱的系统。

基金会已经发布了Apache HTTP服务器(Web服务器)的2.4.52版本,该版本解决了CVE-2021-44790和CVE-2021-44224这两个缺陷,它们的CVSS严重程度得分别为9.8(严重)和8.2(高)(满分为10分)。 9.8分是非常糟糕的,最近几周只有被称为Log4Shell的Log4j漏洞排名第一,该漏洞的严重程度为10分。

图片来自:Google

Apache Web服务器的第一个缺陷是影响Apache HTTP服务器2.4.51及更早版本的内存相关缓冲区溢出。 美国网络安全与基础设施安全局(CISA)警告称,它“可能会让远程攻击者控制受影响的系统”。 较不严重的漏洞允许在Apache HTTP 服务器 2.4.7到2.4.51中伪造服务器端请求。

根据W3Techs的数据,Apache HTTP服务器是互联网上使用最广泛的第二大服务器,仅次于Nginx,估计全球31.4%的网站使用它。 英国安全公司Netcraft估计,在2021年12月,有2.83亿网站使用了Apache HTTP服务器,占所有Web服务器的24%。

这个关键的漏洞显然还没有受到攻击,但HTTPD团队相信它有可能被当成网络攻击武器。

Apache HTTPD团队说:“Apache HTTPD团队还没有意识到这个漏洞的存在,尽管它可能会制造一个漏洞。”

“一个精心设计的请求体可能会导致mod_lua多部分解析器(从Lua脚本调用r:parsebody())中的缓冲区溢出,”Apache基金会的Steffan Eissing在邮件列表中解释道。

正如Netcraft所指出的,Apache HTTP 服务器并没有直接受到基于Java的Log4j错误消息库的影响,因为它是用C语言编写的。然而,即使是用非Java语言编写的Web服务器,也可能在技术堆栈中集成了容易受到攻击的Log4j库。 IBM的Web服务器WebSphere集成了Log4j,很容易受到攻击,但是Netcraft发现只有3778个网站在使用它。

在过去的一周中,Apache软件基金会发布了三次更新,以应对Log4j版本2分支中广泛存在的Log4Shell漏洞。

23日,美国、澳大利亚、加拿大、新西兰和英国的网络安全机构发布了解决该漏洞的指导意见。 这个漏洞预计需要几个月的时间才能解决,因为Log4j库已经作为一个组件集成到数百个主要供应商的软件产品中,包括IBM、思科、VMware、RedHat和甲骨文等。 这个库还附带了一些重要的框架,比如Apache的Struts2。

(编译:涂利慧)