Apache軟體基金會公告了兩個最新漏洞,請儘早更新~
Apache軟體基金會於12月20日釋出的HTTP Server專案最新2.4.52版,最新版本除了功能更新,最主要是修補2個漏洞包括CVE-2021-44790及CVE-2021-44224:
- CVE-2021-44790,CVSS 3.1風險值9.8,屬重大漏洞!
是和mod_lua有關的漏洞,攻擊者可傳送惡意呼叫觸發mod-lua multipart解析器的緩衝溢位,本漏洞影響Apache HTTP Server 2.4.51及以前版本。 - CVE-2021-44224,CVSS 3.1風險值8.2,屬高度漏洞。
是和HTTP Server的正向代理(forward proxy)有關的漏洞,攻擊者可傳送惡意URI引發伺服器崩潰,本漏洞影響Apache HTTP Server 2.4.7~2.4.51的版本。
關於Apache HTTP Server!
Apache HTTP Server(簡稱Apache)是Apache軟體基金會的一個開放原始碼的網頁伺服器軟體,可以在大多數電腦作業系統中運行。由於其跨平台和安全性,被廣泛使用,是最流行的Web伺服器軟體之一。它快速、可靠並且可通過簡單的API擴充,將Perl/Python等直譯器編譯到伺服器中。
Apache及其各種分支版本是當前網際網路市場上,市佔率最高的網頁伺服器軟體。
2020年4月,Netcraft估計在全球最繁忙的一百萬個網站中,使用Apache的有29.12%,使用Nginx的有25.54%;而W3Techs的數據則顯示,在全球最繁忙的一千萬個網站中,使用Apache的有39.5%,使用Nginx的有31.7%。
資料參考來源:維基百科
https://zh.wikipedia.org/wiki/Apache_HTTP_Server
不同的Linux distribution也會有不同的分支版本,例如RedHat、CentOS、Amazon、Ubuntu、Debian等等,所以最新的版本不一定就是和Apache官方釋出的版本號一致,例如現在CentOS 7.x的httpd套件最新版本是httpd-2.4.6-97.el7.centos.2.x86_64。
若是漏洞影響的模組並沒有安裝或啟用,就可以不必擔心!
以這次apache公告的兩個嚴重漏洞來說,只要你的伺服器沒有啟用mod_lua和正向proxy的服務,那麼就可以不必擔心會受到漏洞的影響,就算不更新也是安全的!
而各家Linux distribution的更新速度也會不一樣,若想修補漏洞時,可以先查看各家的官網公告,看是否有針對相關的漏洞進行修補,若有就可以更新至新版套件~
總之,有資安漏洞出來時要特別注意,但也不必太過緊張,只要配合官方去更新就好!