据ZDNet12月23日报道，Apache软件基金会发布了一项更新，以解决其Web服务器的一个关键缺陷，该缺陷允许远程攻击者控制一个脆弱的系统。

基金会已经发布了Apache HTTP服务器(Web服务器)的2.4.52版本，该版本解决了CVE-2021-44790和CVE-2021-44224这两个缺陷，它们的CVSS严重程度得分别为9.8(严重)和8.2(高)(满分为10分)。 9.8分是非常糟糕的，最近几周只有被称为Log4Shell的Log4j漏洞排名第一，该漏洞的严重程度为10分。

Apache Web服务器的第一个缺陷是影响Apache HTTP服务器2.4.51及更早版本的内存相关缓冲区溢出。 美国网络安全与基础设施安全局(CISA)警告称，它“可能会让远程攻击者控制受影响的系统”。 较不严重的漏洞允许在Apache HTTP 服务器 2.4.7到2.4.51中伪造服务器端请求。

根据W3Techs的数据，Apache HTTP服务器是互联网上使用最广泛的第二大服务器，仅次于Nginx，估计全球31.4%的网站使用它。 英国安全公司Netcraft估计，在2021年12月，有2.83亿网站使用了Apache HTTP服务器，占所有Web服务器的24%。

这个关键的漏洞显然还没有受到攻击，但HTTPD团队相信它有可能被当成网络攻击武器。

Apache HTTPD团队说:“Apache HTTPD团队还没有意识到这个漏洞的存在，尽管它可能会制造一个漏洞。”

“一个精心设计的请求体可能会导致mod_lua多部分解析器(从Lua脚本调用r:parsebody())中的缓冲区溢出，”Apache基金会的Steffan Eissing在邮件列表中解释道。

正如Netcraft所指出的，Apache HTTP 服务器并没有直接受到基于Java的Log4j错误消息库的影响，因为它是用C语言编写的。然而，即使是用非Java语言编写的Web服务器，也可能在技术堆栈中集成了容易受到攻击的Log4j库。 IBM的Web服务器WebSphere集成了Log4j，很容易受到攻击，但是Netcraft发现只有3778个网站在使用它。

在过去的一周中，Apache软件基金会发布了三次更新，以应对Log4j版本2分支中广泛存在的Log4Shell漏洞。

23日，美国、澳大利亚、加拿大、新西兰和英国的网络安全机构发布了解决该漏洞的指导意见。 这个漏洞预计需要几个月的时间才能解决，因为Log4j库已经作为一个组件集成到数百个主要供应商的软件产品中，包括IBM、思科、VMware、RedHat和甲骨文等。 这个库还附带了一些重要的框架，比如Apache的Struts2。

版权申明：本站文章均来自网络，如有侵权，请联系01056159998 邮箱：itboby@foxmail.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有