【漏洞详情】

Apache HTTP Server 2.4.50 中对 CVE-2021-41773 的修复不够充分。攻击者可以使用路径遍历攻击将 URL 映射到由类似别名的指令配置的目录之外的文件。如果这些目录之外的文件不受通常的默认配置“要求全部拒绝”的保护，则这些请求可能会成功。如果还为这些别名路径启用了 CGI 脚本，则可以允许远程代码执行。这些漏洞已被广泛利用。平安云安全中心提醒使用apache的用户尽快采取安全措施阻止漏洞攻击。

【风险评级】

高危

【影响范围】

此问题仅影响 Apache 2.4.49 和 Apache 2.4.50，而不影响更早版本。

【修复建议】

建议受影响的用户将apache升级到2.4.51版本

【参考链接】

https://downloads.apache.org/httpd/CHANGES_2.4

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安金融云

2021年10月8日