近日,，國家信息安全漏洞庫（CNNVD）收到關(guān)于Apache HTTP Server代碼問題漏洞（CNNVD-202109-1094、CVE-2021-40438）情況的報送,。成功利用漏洞的攻擊者,，可以構(gòu)造惡意數(shù)據(jù)對目標服務(wù)器進行SSRF攻擊,。Apache HTTP Server 2.4.48及其以下版本均受此漏洞影響。目前,，Apache官方已經(jīng)發(fā)布了版本更新修復(fù)了該漏洞,，建議用戶及時確認產(chǎn)品版本，盡快采取修補措施,。

　　一,、漏洞介紹

　　Apache HTTP Server是美國阿帕奇（Apache）基金會的一款開源網(wǎng)頁服務(wù)器,。該服務(wù)器具有快速、可靠且可通過簡單的API進行擴充的特點,。

　　Apache HTTP Server存在代碼問題漏洞,，該漏洞是由于系統(tǒng)對用戶的輸入沒有進行嚴格的過濾導(dǎo)致，攻擊者可以構(gòu)造惡意數(shù)據(jù)對目標服務(wù)器進行SSRF攻擊,。該漏洞可做為攻擊目標服務(wù)器內(nèi)網(wǎng)的跳板,，以此對服務(wù)器所在內(nèi)網(wǎng)進行端口掃描、攻擊運行在內(nèi)網(wǎng)的應(yīng)用程序,、下載內(nèi)網(wǎng)資源等,。

　　二、危害影響

　　成功利用漏洞的攻擊者,，可以構(gòu)造惡意數(shù)據(jù)對目標服務(wù)器進行遠程攻擊,。Apache HTTP Server 2.4.48及其以下版本均受此漏洞影響。

　　三,、修復(fù)建議

　　目前,，Apache官方已經(jīng)發(fā)布了版本更新修復(fù)了該漏洞。建議用戶及時確認產(chǎn)品版本,，盡快采取修補措施,。Apache官方更新鏈接如下：

　　https://httpd.apache.org/download.cgi

　　本通報由CNNVD技術(shù)支撐單位——北京知道創(chuàng)宇信息技術(shù)股份有限公司、深信服科技股份有限公司,、北京時代新威信息技術(shù)有限公司等技術(shù)支撐單位提供支持,。

　　CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況，及時發(fā)布相關(guān)信息,。如有需要,，可與CNNVD聯(lián)系。聯(lián)系方式： [email protected]