更新時間:2021/10/15 05:44:36
發佈時間:2021/10/15 05:44:36
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1]
Apache HTTP Server 2.4.50版本未能徹底修正CVE-2021-41773漏洞。攻擊者可以使用路徑穿越攻擊將 URL 映射到由類似別名的指令配置的目錄之外的檔案。如果這些目錄之外的檔案不受通常的預設為“要求全部拒絕”的保護,則這些請求可能會成功。如果還為這些路徑啟用了 CGI 腳本,則可以允許遠端程式碼執行。此問題僅影響 Apache 2.4.49 和 Apache 2.4.50,而不影響更早版本。
二、已揭露攻擊程式碼說明[2]
於packetstorm已有概念驗證(POC)攻擊程式,可針對此一漏洞進行攻擊。
三、影響平台:[1]
Apache 2.4.49 和 Apache 2.4.50
四、建議措施:
1.Apache已發布2.4.51版,請評估後執行更新[1]
參考連結:
1.Apache
https://httpd.apache.org/security/vulnerabilities_24.html
2. packetstorm
https://packetstormsecurity.com/files/164501/Apache-HTTP-Server-2.4.50-Path-Traversal-Code-Execution.html
建議措施:
參考資料:
影響平台:
情資編號:
FISAC-202110-0011
系統目錄:
資安漏洞
資安類別:
資安訊息情資 / 其他
影響等級:
3
關鍵字:
弱點漏洞