通告消息
2021年10月5日,Apache软件基金会(Apache Software Foundation)发布了Apache HTTP Server 2.4.50,以修补Apache HTTP Server 2.4.49中的两个安全漏洞,其中的CVE-2021-41773为一资料外泄漏洞,而且已遭黑客开采,使得该基金会呼吁用户应尽快修补。
漏洞概述
Apache HTTP Server为一开源的HTTP服务器项目,该项目的目标是提供一个能与现有HTTP标准同步以提供HTTP服务的安全服务器,最新的两个漏洞存在于Apache基金会始于今年9月16日发布的Apache HTTP Server 2.4.49中
这两个漏洞分别是CVE-2021-41524与CVE-2021-41773,前者为h2模糊测试的无效指标引用漏洞,将允许外部来源针对服务器进行服务阻断攻击,不过尚未发现开采程序。
CVE-2021-41773则是相对严重的路径穿越(Path Traversal)与文件披露漏洞,允许黑客将URLs映射到文件根目录(Document Root)以外的文件上,也可能泄露诸如CGI脚本文件等直译文件的来源,而且已经遭到黑客开采
安全企业PT SWARM表示,该团队已经复制了CVE-2021-41773漏洞,假设文件根目录以外的文件并未受到“拒绝所有要求”(require all denied)的保护,那么黑客就会成功,建议Apache HTTP Server用户应立即修补。
幸好这两个漏洞只影响Apache HTTP Server 2.4.49,并未波及更早的版本,且Apache HTTP Server 2.4.49上线不到一个月,许多用户可能还未升级,缩小了潜在受害者的范围
漏洞复现
CVE-2021-41773漏洞相对严重,允许黑客路径穿越访问服务器重要文件资源
直接用docker做简单复现
dockerfile如下:
FROM vulhub/httpd:2.4.49
LABEL maintainer="li"
RUN set -ex \
&& sed -i "s|#LoadModule cgid_module modules/mod_cgid.so|LoadModule cgid_module modules/mod_cgid.so|g" /usr/local/apache2/conf/httpd.conf \
&& sed -i "s|#LoadModule cgi_module modules/mod_cgi.so|LoadModule cgi_module modules/mod_cgi.so|g" /usr/local/apache2/conf/httpd.conf \
&& cat /usr/local/apache2/conf/httpd.conf \
| tr '\n' '\r' \
| perl -pe 's|<Directory />.*?</Directory>|<Directory />\n AllowOverride none\n Require all granted\n</Directory>|isg' \
| tr '\r' '\n' \
| tee /tmp/httpd.conf \
&& mv /tmp/httpd.conf /usr/local/apache2/conf/httpd.conf
保存后,直接build镜像,启动容器
接着直接测试目录穿越请求/etc/passwd
影响版本
漏洞影响的版本包括:
Apache HTTP Server 2.4.49
解决方案
升级至2.4.50版本