10月4日，Apache 发布了 Apache HTTP Server 2.4.50 版本，旨在解决Apache HTTP Server 2.4.49 版本的CVE-2021-41773（Apache HTTP Server 路径遍历漏洞），同时，该漏洞利用细节被公开，攻击者可以使用路径遍历攻击读取根目录之外的文件。

近日，研究人员发现之前的安全更新没有正确修复该漏洞，并在2.4.49和2.4.50版本中均存在代码执行漏洞（CVE-2021-41773）。

10月7日，Apache再次发布 Apache HTTP Server 2.4.51版本，该版本为 CVE-2021-41773 的补充修复。攻击者可利用该漏洞在受影响的机器上进行远程代码执行。建议广大用户及时升级至 Apache HTTP Server 2.4.51 版本。

漏洞描述

Apache HTTP Server是阿帕奇（Apache）基金会的一款开源网页服务器。

CVE-2021-42013

攻击者可以使用路径遍历攻击将 URL 映射到由类似别名的指令配置的目录之外的文件。如果这些目录之外的文件不受默认配置"require all denied"的保护，则这些请求可能会成功。如果还为这些别名路径启用了 CGI 脚本，则还可以进行远程代码执行。

该漏洞危害等级：严重

CVE 编号

CVE-2021-42013

FOFA 查询

app="APACHE-Web-Server"

影响范围

影响版本：

Apache HTTP Server 2.4.50
Apache HTTP Server 2.4.49

修复版本：

Apache HTTP Server 2.4.51

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="APACHE-Web-Server"）共有 124,629,223 个相关服务对外开放。美国使用数量最多，共有 38,494,419 个；德国第二，共有 11,332,725 个；中国第三，共有 10,857,801 个；日本第四，共有 6,660,027 个；法国第五，共有 5,030,941 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区广东使用数量最多，共有 1,265,252 个；北京第二，共有 577,639 个；浙江第三，共有 514,747 个；江苏第四，共有 476,953 个；上海第五，共有 452,498 个。

Vulfocus 靶场环境

目前 Vulfocus 已经集成 Apache HTTP Server 2.4.49 环境，可通过

docker pull vulfocus/apache-cve_2021_41773:latest

进行拉取运行，也可通过 http://vulfocus.fofa.so/ 进行测试。

修复建议

及时升级至Apache HTTP Server 2.4.51版本：https://httpd.apache.org/download.cgi

参考

[1] https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2021-42013

[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41773

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。