近日，國家信息安全漏洞庫（CNNVD）收到關于Apache HTTP Server代碼問題漏洞（CNNVD-202109-1094、CVE-2021-40438）情況的報送。成功利用漏洞的攻擊者，可以構造惡意數(shù)據(jù)對目標服務器進行SSRF攻擊。Apache HTTP Server 2.4.48及其以下版本均受此漏洞影響。目前，Apache官方已經(jīng)發(fā)布了版本更新修復了該漏洞，建議用戶及時確認產(chǎn)品版本，盡快采取修補措施。

一、漏洞介紹

Apache HTTP Server是美國阿帕奇（Apache）基金會的一款開源網(wǎng)頁服務器。該服務器具有快速、可靠且可通過簡單的API進行擴充的特點。

Apache HTTP Server存在代碼問題漏洞，該漏洞是由于系統(tǒng)對用戶的輸入沒有進行嚴格的過濾導致，攻擊者可以構造惡意數(shù)據(jù)對目標服務器進行SSRF攻擊。該漏洞可作為攻擊目標服務器內網(wǎng)的跳板，以此對服務器所在內網(wǎng)進行端口掃描、攻擊運行在內網(wǎng)的應用程序、下載內網(wǎng)資源等。

二、危害影響

成功利用漏洞的攻擊者，可以構造惡意數(shù)據(jù)對目標服務器進行遠程攻擊。Apache HTTP Server 2.4.48及其以下版本均受此漏洞影響。

三、修復建議

目前，Apache官方已經(jīng)發(fā)布了版本更新修復了該漏洞。建議用戶及時確認產(chǎn)品版本，盡快采取修補措施。

文章來源：國家信息安全漏洞庫