按 Enter 到主內容區
:::

TWCERT-電子報

:::

Apache HTTP Server 修復可導致指定路徑外檔案遭竊的嚴重 0-day 漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-10-14
  • 點閱次數:60
Apache HTTP Server 修復可導致指定路徑外檔案遭竊的嚴重 0-day 漏洞 TWCERT/CC

CVE編號

CVE-2021-41773、CVE-2021-42013

內文

Apache HTTP web server 遭發現已大規模用於駭侵攻擊的嚴重 0-day 資安漏洞,可能有超過十萬台網頁伺服器曝露於攻擊風險中;Apache 已緊急修復此漏洞。

廣獲全球網站管理者採用的開源網頁伺服器軟體 Apache HTTP web server,日前遭發現已大規模運用於駭侵攻擊的嚴重 0-day 資安漏洞;可能有超過十萬台網頁伺服器曝露於攻擊風險中;Apache 已緊急修復此漏洞。

存有此 0-day 漏洞的 Apache web server 版本為 2.4.49,該漏洞為一種路徑穿越與檔案洩露漏洞;駭侵者可以利用此漏洞來存取指定 root 路徑之外,且未設定為禁止存取的檔案;這可能會造成駭侵者取得網站的各種機密檔案,例如原始碼或 CGI 程式碼等等。

這個 0-day 漏洞據報已遭駭侵者大規模濫用於攻擊活動。據 Shodan 的研究報指出,在整個 Internet 上有超過 112,000 台安裝存有漏洞 Apache web server 的網站,曝露於攻擊風險之中,而這些網站遍布全球各地。

Apache 在發現 CVE-2021-41773 與 CVE-2021-42013 漏洞後,先是緊急推出 Apache HTTP Server 2.4.50,但很快發現這個新版本的修補能力不夠完整,駭侵者還是可透過類似的方法來發動攻擊,取得指定路徑外的檔案;Apache 很快又推出了更新的 Apache HTTP Server 2.4.51 版,以完全解決該漏洞造成的風險。

採用 Apache HTTP Server 的網站管理者,應立即採取行動,將使用中 Apache HTTP Server 的版本,更新至 2.4.51 及其後版本,以避免遭到駭侵者利用此 0-day 漏洞發動攻擊。

影響產品

Apache HTTP Server 2.4.49 與 2.4.50

解決辦法

升級至 Apache HTTP Server 2.4.51 及之後版本
回頁首