apache最新的兩個重要資安漏洞,有使用lua和正向proxy的要注意!

Apache軟體基金會公告了兩個最新漏洞,請儘早更新~

Apache軟體基金會於12月20日釋出的HTTP Server專案最新2.4.52版,最新版本除了功能更新,最主要是修補2個漏洞包括CVE-2021-44790及CVE-2021-44224:

  • CVE-2021-44790,CVSS 3.1風險值9.8,屬重大漏洞!
    是和mod_lua有關的漏洞,攻擊者可傳送惡意呼叫觸發mod-lua multipart解析器的緩衝溢位,本漏洞影響Apache HTTP Server 2.4.51及以前版本。
  • CVE-2021-44224,CVSS 3.1風險值8.2,屬高度漏洞。
    是和HTTP Server的正向代理(forward proxy)有關的漏洞,攻擊者可傳送惡意URI引發伺服器崩潰,本漏洞影響Apache HTTP Server 2.4.7~2.4.51的版本。

關於Apache HTTP Server!

Apache HTTP Server(簡稱Apache)是Apache軟體基金會的一個開放原始碼的網頁伺服器軟體,可以在大多數電腦作業系統中運行。由於其跨平台和安全性,被廣泛使用,是最流行的Web伺服器軟體之一。它快速、可靠並且可通過簡單的API擴充,將Perl/Python等直譯器編譯到伺服器中。

Apache及其各種分支版本是當前網際網路市場上,市佔率最高的網頁伺服器軟體。

2020年4月,Netcraft估計在全球最繁忙的一百萬個網站中,使用Apache的有29.12%,使用Nginx的有25.54%;而W3Techs的數據則顯示,在全球最繁忙的一千萬個網站中,使用Apache的有39.5%,使用Nginx的有31.7%。

資料參考來源:維基百科
https://zh.wikipedia.org/wiki/Apache_HTTP_Server

不同的Linux distribution也會有不同的分支版本,例如RedHat、CentOS、Amazon、Ubuntu、Debian等等,所以最新的版本不一定就是和Apache官方釋出的版本號一致,例如現在CentOS 7.x的httpd套件最新版本是httpd-2.4.6-97.el7.centos.2.x86_64。

若是漏洞影響的模組並沒有安裝或啟用,就可以不必擔心!

以這次apache公告的兩個嚴重漏洞來說,只要你的伺服器沒有啟用mod_lua和正向proxy的服務,那麼就可以不必擔心會受到漏洞的影響,就算不更新也是安全的!

而各家Linux distribution的更新速度也會不一樣,若想修補漏洞時,可以先查看各家的官網公告,看是否有針對相關的漏洞進行修補,若有就可以更新至新版套件~

總之,有資安漏洞出來時要特別注意,但也不必太過緊張,只要配合官方去更新就好!