近日��,國(guó)家信息安全漏洞庫(kù)(CNNVD)收到關(guān)于Apache HTTP Server代碼問(wèn)題漏洞(CNNVD-202109-1094���、CVE-2021-40438)情況的報(bào)送。成功利用漏洞的攻擊者����,可以構(gòu)造惡意數(shù)據(jù)對(duì)目標(biāo)服務(wù)器進(jìn)行SSRF攻擊。Apache HTTP Server 2.4.48及其以下版本均受此漏洞影響�。目前,Apache官方已經(jīng)發(fā)布了版本更新修復(fù)了該漏洞��,建議用戶及時(shí)確認(rèn)產(chǎn)品版本��,盡快采取修補(bǔ)措施。
一�����、漏洞介紹
Apache HTTP Server是美國(guó)阿帕奇(Apache)基金會(huì)的一款開(kāi)源網(wǎng)頁(yè)服務(wù)器����。該服務(wù)器具有快速����、可靠且可通過(guò)簡(jiǎn)單的API進(jìn)行擴(kuò)充的特點(diǎn)。
Apache HTTP Server存在代碼問(wèn)題漏洞����,該漏洞是由于系統(tǒng)對(duì)用戶的輸入沒(méi)有進(jìn)行嚴(yán)格的過(guò)濾導(dǎo)致,攻擊者可以構(gòu)造惡意數(shù)據(jù)對(duì)目標(biāo)服務(wù)器進(jìn)行SSRF攻擊����。該漏洞可作為攻擊目標(biāo)服務(wù)器內(nèi)網(wǎng)的跳板,以此對(duì)服務(wù)器所在內(nèi)網(wǎng)進(jìn)行端口掃描����、攻擊運(yùn)行在內(nèi)網(wǎng)的應(yīng)用程序、下載內(nèi)網(wǎng)資源等�。
二��、危害影響
成功利用漏洞的攻擊者���,可以構(gòu)造惡意數(shù)據(jù)對(duì)目標(biāo)服務(wù)器進(jìn)行遠(yuǎn)程攻擊。Apache HTTP Server 2.4.48及其以下版本均受此漏洞影響���。
三�、修復(fù)建議
目前���,Apache官方已經(jīng)發(fā)布了版本更新修復(fù)了該漏洞�。建議用戶及時(shí)確認(rèn)產(chǎn)品版本�,盡快采取修補(bǔ)措施。
文章來(lái)源:國(guó)家信息安全漏洞庫(kù)
