更新時間:2021/10/07 06:50:00
發佈時間:2021/10/07 06:50:00
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
更正說明:10/7 建議措施誤植為2.2.49,應為2.4.49
1.漏洞說明[1]
Apache HTTP Server 2.4.49版本中對路徑正規化所做的異動造成漏洞。攻擊者可以使用路徑穿越(Path Traversal)攻擊將 URL 映射到預期檔案根目錄之外的檔案。
如果檔案根目錄之外的檔案不受“拒絕全部要求”的保護,則這些請求可能會成功。此外,此漏洞可能會洩漏 CGI 腳本等解譯檔案的存放路徑。
2.已揭露攻擊程式碼說明[1][2][3]
Apache官網公告已發現攻擊程式。
iThome網站發布相關說明。
packet storm網站已揭露攻擊程式碼。
3.影響平台:[1]
2.4.49版本。其他版本不受影響。
4.建議措施: [1]
將Apache 2.4.49升至2.4.50版本。
參考連結:
1.Apache
https://httpd.apache.org/security/vulnerabilities_24.html
2.IThome
https://www.ithome.com.tw/news/147117
3.packet storm
https://packetstormsecurity.com/files/164418/Apache-HTTP-Server-2.4.49-Path-Traversal.html
建議措施:
參考資料:
影響平台:
情資編號:
FISAC-202110-0004
系統目錄:
資安漏洞
資安類別:
資安訊息情資 / 其他
影響等級:
3
關鍵字:
弱點漏洞