Apache HTTP
伺服器漏洞問題
(CVE-2021-44224與44790)

說明

依據「行政院國家資通安全會報技術服務中心」漏洞警訊公告：

Apache HTTP伺服器存在安全漏洞(CVE-2021-44224與44790)，攻擊者可藉由發送特製請求，觸發緩衝區溢位漏洞，進而遠端執行任意程式碼。

Apache HTTP伺服器二項漏洞，編號CVE-2021-44790及CVE-2021-44224：

• CVE-2021-44790出在HTTP Server中mod_lua元件解析multipart格式的內容過程，攻擊者可傳送惡意呼叫觸發mod-lua multipart解析器的緩衝溢位。本漏洞影響Apache HTTP Server 2.4.51及以前版本，CVSS 3.1風險值9.8，屬重大漏洞。Apache HTTPD團隊尚未接獲開採漏洞的消息。

• CVE-2021-44224則是在HTTP Server的正向代理（forward proxy）設定中，攻擊者可傳送惡意URI到HTTPd引發伺服器崩潰。如果HTTP Server是設定為正、逆向混合代理的組態下，則可能允許呼叫導向宣告的Unix Domain Socket端點，引發伺服器端請求偽造（SSRF，Server Side Request Forgery）攻擊。若未使用正向代理組態（關閉ProxyRequest服務）則不受影響。本漏洞影響Apache HTTP Server 2.4.7到2.4.51版本，CVSS 3.1風險值8.2，屬高度漏洞。

目前已知影響版本如下：

• CVE-2021-44224： Apache HTTP Server 2.4.7至2.4.51(含)版本

• CVE-2021-44790： Apache HTTP Server 2.4.51(含)及以前版本

解決方案

目前各站(含學校、機關及企業)已經陸續解決，如有問題請連絡我們，協助處理。