今天中午看到群里有网友在讨论Apache HTTP Server 2.4.51新版本发布,建议更新升级。如果有使用早期版本的服务器,可能需要升级安全。该版本涉及安全漏洞。Apache HTTP 2.4.50中针对CVE-2021-41773的补丁不完整,导致出现新的漏洞CVE-2021-42013。攻击者可以使用遍历攻击,将URL映射到别名类指令配置的目录之外的文件。
这会导致目录外的文件绕过默认的“require all denied”配置,从而导致对这些文件的遍历请求。如果这些别名启用了CGI脚本路径,则可以实现远程代码执行。
受影响的版本:
该漏洞影响Apache 2.4.49和Apache 2.4.50,早期版本不受影响。因此,有时候我们不升级会更安全,但当然最好还是保留最新版本。
已修复问题:
Apache HTTP Server 2.4.51 已经发布,2.4.51 主要修复了 2.4.50 中发现的安全问题,所以主要的变更都在 2.4.50 中,包括修复安全问题和一些 Bug,以及增强功能。
1. mod_rewrite:修复 [P] 规则的 UDS(“unix:”)方案
2. 事件 mpm: 如果子进程由于 MaxConnectionsPerChild 而停止,则父进程中活跃的子进程可以正确计算
3. mod_http2:当服务器正常重启时,任何空闲的 h2 工作线程都会立即关闭。此外,OpenSSL API 的使用已更改,以解决 OpenSSL 3.0 中的弃用问题,并添加了所有其他 API。
4. mod_dav:正确处理 REPORT 请求中 dav 提供程序返回的错误
5. core:不要在次级连接上安装核心输入/输出过滤器
6. 核心:添加 ap_pre_connection() 作为 ap_run_pre_connection() 的包装器,以防止运行 pre_connection 钩子失败导致随后崩溃
7. mod_speling:添加 CheckBasenameMatch PR 44221
如果需要升级,请备份数据。