Apache HTTP
伺服器漏洞問題
(CVE-2021-44224與44790)
說明
說明
依據「行政院國家資通安全會報技術服務中心」漏洞警訊公告:
依據「行政院國家資通安全會報技術服務中心」漏洞警訊公告:
Apache HTTP伺服器存在安全漏洞(CVE-2021-44224與44790),攻擊者可藉由發送特製請求,觸發緩衝區溢位漏洞,進而遠端執行任意程式碼。
Apache HTTP伺服器二項漏洞,編號CVE-2021-44790及CVE-2021-44224:
Apache HTTP伺服器二項漏洞,編號CVE-2021-44790及CVE-2021-44224:
CVE-2021-44790出在HTTP Server中mod_lua元件解析multipart格式的內容過程,攻擊者可傳送惡意呼叫觸發mod-lua multipart解析器的緩衝溢位。本漏洞影響Apache HTTP Server 2.4.51及以前版本,CVSS 3.1風險值9.8,屬重大漏洞。Apache HTTPD團隊尚未接獲開採漏洞的消息。
CVE-2021-44224則是在HTTP Server的正向代理(forward proxy)設定中,攻擊者可傳送惡意URI到HTTPd引發伺服器崩潰。如果HTTP Server是設定為正、逆向混合代理的組態下,則可能允許呼叫導向宣告的Unix Domain Socket端點,引發伺服器端請求偽造(SSRF,Server Side Request Forgery)攻擊。若未使用正向代理組態(關閉ProxyRequest服務)則不受影響。本漏洞影響Apache HTTP Server 2.4.7到2.4.51版本,CVSS 3.1風險值8.2,屬高度漏洞。
目前已知影響版本如下:
目前已知影響版本如下:
CVE-2021-44224: Apache HTTP Server 2.4.7至2.4.51(含)版本
CVE-2021-44790: Apache HTTP Server 2.4.51(含)及以前版本
目前Apache HTTP Server官方已釋出更新程式(更新版為2.4.52)
解決方案
解決方案
目前各站(含學校、機關及企業)已經陸續解決,如有問題請連絡我們,協助處理。