搬瓦工VPS
拥有10+机房且可自主切换机房

Apache HTTP Server 2.4.51 发布(解决CVE-2021-42013)

知名Apache HTTP服务器项目日前发布最新版本Apache HTTPD 2.4.51。该版本最新的 Apache HTTPD最新 2.4.x GA版本。主要解决了CVE-2021-42013。安全漏洞和其他安全、功能和修复,建议用户及时升级。目前官方已经放开Apache HTTP Server 2.4.51安装包下载:

主要更新

解决安全漏洞CVE-2021-42013:

在 Apache HTTP Server 2.4.49 和 2.4.50 中路径遍历和远程代码执行(CVE-2021-41773不完整修复)

Apache HTTP 中2.4.50的修复补丁CVE-2021-41773 修复不完整,导致新的漏洞CVE-2021-42013。攻击者可以使用由类似别名的指令配置将URL映射到目录外的文件的遍历攻击。导致目录之外的文件越过默认的“require all denied”的配置,导致可以遍历请求这些文件。如果这些别名启用了CGI 脚本路径,则导致可以进行远程代码执行。

该漏洞影响 Apache 2.4.49 和 Apache 2.4.50,早期版本不受影响。

核心:添加 ap_unescape_url_ex() 以获得更好的解码控制,并弃用未使用的 AP_NORMALIZE_DROP_PARAMETERS 标志。

2.4.51版本需要 Apache Portable Runtime (APR) 1.5.x 和 APR-Util,1.5.x以上版本 某些功能可能需要 1.6.x APR 和 APR-Util 的版本。APR 库必须升级 httpd 的所有功能都可以正常运行。

Apache HTTP Server 2.4 提供了许多改进和增强超过 2.2 版本。该版本构建并扩展了Apache 2.2 API。Apache 2.2编写的模块需要重新编译才能在2.4下运行,并且有可能需要修改源代码。

升级或安装此版本的Apache时,请牢记 如果打算将Apache与其中一个线程 MPM(其他Prefork MPM),必须确保将使用的任何模块using(以及它们依赖的库)是线程安全的。

注意 2.2.x 分支现在已经结束版本的生命周期,并且不会进一步更新。用户必须立即升级到2.4.x。一般情况下虫虫建议使用Nginx代替Apache。

赞(0)
未经允许不得转载:搬瓦工中文网 » Apache HTTP Server 2.4.51 发布(解决CVE-2021-42013)