更新時間:2021/12/14 06:49:44
發佈時間:2021/12/14 06:49:44
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明: [1]
遠端攻擊者精心設計的uri-path請求可以導致 mod_proxy 將請求轉發到遠端攻擊者選擇的來源伺服器。
二、已揭露攻擊程式碼說明[2]
Cisco公告已發現攻擊行為。
三、影響平台:[1]
Apache HTTP Server 2.4.48 及之前版本
四、CVSS向量:[1]
使用版本:CVSS 3.0
分析分數:9
影響等級:3
參考來源 :Apache
五、建議措施:[3]
Apache後續發布2.4.49及2.4.50版,但經發現存在其他漏洞,最新已發布2.4.51版,建議評估後執行升級至2.4.51版。
參考連結:
1. NVD
https://nvd.nist.gov/vuln/detail/CVE-2021-40438
2. Cisco
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-httpd-2.4.49-VWL69sWQ
3. Apache
https://httpd.apache.org/security/vulnerabilities_24.html
建議措施:
參考資料:
影響平台:
情資編號:
FISAC-202112-0022
系統目錄:
資安漏洞
資安類別:
資安訊息情資 / 其他
影響等級:
3
關鍵字:
弱點漏洞