漏洞描述

Apache HTTP Server是阿帕奇（Apache）基金會的一款開源網頁服務器。 Apache HTTP Server存在緩沖區溢出漏洞，由于 mod_lua 解析 multipart 內容時可能出現緩沖區溢出，攻擊者利用該漏洞可通過精心設計的HTTP請求進行緩沖區溢出攻擊。

基本信息

· CVE編號：CVE-2021-44790

· 漏洞類型：命令執行

· 危險等級：高危

· 受影響應用版本：Apache HTTP Server <= 2.4.51

· 檢測方式：版本對比

· 是否加入全局：是

· 公布時間： 2021-12-20

· 風險特征：遠程利用

· CVSS評分： 8

· CVSS詳情： AV:N/AC:L/Au:N/C:P/I:P/A:P

修復建議

1.將 httpd 升級到 2.4.52 及以上版本，下載地址：//httpd.apache.org/download.cgi

2.若漏洞的檢測結果中存在漏洞修復版本，則將漏洞檢測結果中的軟件包升級到對應漏洞修復版本及以上。

參照安全補丁功能中該漏洞的修復命令進行升級，或者參照以下修復命令進行升級：

CentOS/RHEL/Oracle Linux : sudo yum update -y 需要升級的軟件包名(參考檢測結果)

SUSE : sudo zypper update -y 需要升級的軟件包名(參考檢測結果)

Ubuntu/Debian : sudo apt-get update && sudo apt-get install --only-upgrade -y 需要升級的軟件包名(參考檢測結果)

例：若漏洞的檢測結果中主機系統為RedHat 7，軟件包名稱為 httpd，當前安裝版本為 2.4.6-80.el7，對應漏洞修復版本為 2.4.6-97.el7_9.4，則漏洞修復命令為 sudo yum update -y httpd