【安全通告】Apache HTTP Server SSRF服务器端请求伪造漏洞风险通告（CVE-2021-44224, CVE-2021-44790）

尊敬的腾讯云用户，您好！

腾讯云安全运营中心监测到， Apache官方发布安全通告，披露了Apache HTTP Server存在缓冲区溢出及SSRF漏洞，漏洞编号CVE-2021-44790、CVE-2021-44224。可导致SSRF等危害。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

Apache HTTP Server（简称Apache），是Apache软件基金会的一个开放源代码的网页服务器，可以在大多数电脑操作系统中运行，由于其具有的跨平台性和安全性，被广泛使用，是最流行的Web服务器端软件之一。

CVE-2021-44224（SSRF 漏洞）：
如果httpd 配置作为转发代理（ProxyRequests on） ，可允许攻击者通过精心构造的 URI ，导致崩溃（空指针取消引用），或者如果httpd的配置为混合转发和反向代理声明，可以允许攻击者将请求发送到声明的 Unix 域套接字端点，造成服务器端请求伪造。

CVE-2021-44790（缓冲区溢出漏洞）：
攻击者可通过精心构造的请求正文可能会导致 mod_lua 多部分解析器（从 Lua 脚本调用的 r:parsebody()）缓冲区溢出.
但Apache httpd 团队认为该漏洞较难利用。

风险等级

高风险

漏洞风险

攻击者可利用该漏洞导致服务器端请求伪造

影响版本

CVE-2021-44224：
Apache HTTP Server >=2.4.7, <=2.4.51

CVE-2021-44790：
Apache HTTP Server <=2.4.51

安全版本

Apache HTTP Server >= 2.4.52

修复建议

官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本

【备注】：建议您在升级前做好数据备份工作，避免出现意外

漏洞参考

https://httpd.apache.org/security/vulnerabilities_24.html