立即注册 找回密码

QQ登录

只需一步,快速开始

查看: 3910|回复: 0

[Linux主机系统视频教程] 新版本Apache HTTP Server 2.4.51发布更新(有安全漏洞建议升级)

[复制链接]
发表于 2021-12-1 10:00:36 | 显示全部楼层 |阅读模式
道勤网-数据www.daoqin.net

亲注册登录道勤网-可以查看更多帖子内容哦!(包涵精彩图片、文字详情等)请您及时注册登录-www.daoqin.net

您需要 登录 才可以下载或查看,没有账号?立即注册

x
今天中午的时候看到群里网友在讨论新版本的Apache HTTP Server 2.4.51发布且建议更新升级,如果有服务器在使用较早版本的话可能需要升级安全,这次的版本中涉及到安全漏洞的问题。Apache HTTP 中2.4.50的修复补丁CVE-2021-41773 修复不完整,导致新的漏洞CVE-2021-42013。攻击者可以使用由类似别名的指令配置将URL映射到目录外的文件的遍历攻击。

新版本Apache HTTP Server 2.4.51发布更新(有安全漏洞建议升级)

新版本Apache HTTP Server 2.4.51发布更新(有安全漏洞建议升级)

这里可以导致目录之外的文件越过默认的“require all denied”的配置,导致可以遍历请求这些文件。如果这些别名启用了CGI 脚本路径,则导致可以进行远程代码执行。
影响版本:
该漏洞影响 Apache 2.4.49 和 Apache 2.4.50,如果是早期的版本是不受影响的。所以,我们有些时候不升级也安全,当然最好还是保持最新版本。
修复问题:
Apache HTTP Server 2.4.51 已发布,2.4.51 主要是修复了在 2.4.50 中发现的安全问题,因此主要的变动是在 2.4.50 中,包括修复安全问题和部分 bug,以及增强功能。
1、mod_rewrite: 修复 [P] 规则的 UDS ("unix:") scheme
2、event mpm: 如果子进程由于 MaxConnectionsPerChild 停掉,可正确地计算父进程中的活动子进程
3、mod_http2: 当一个服务器被优雅地重新启动时,任何空闲的 h2 worker 线程都会被立即关闭。另外,针对 OpenSSL 3.0 中的弃用情况,改变了 OpenSSL API 的使用方式,增加了所有其他的。
4、mod_dav: 正确处理由 dav providers 在 REPORT 请求中返回的错误
5、core: 不在二级连接上安装核心输入/输出过滤器
6、core: 添加 ap_pre_connection() 作为 ap_run_pre_connection() 的封装器,用它来防止运行 pre_connection 钩子的失败导致事后崩溃
7、mod_speling: 添加 CheckBasenameMatch PR 44221
如果我们需要升级的话注意数据备份。

道勤主机提供365天*24小时全年全天无休、实时在线、零等待的售后技术支持。竭力为您免费处理您在使用道勤主机过程中所遇到的一切问题! 如果您是道勤主机用户,那么您可以通过QQ【792472177】、售后QQ【59133755】、旺旺【诠释意念】、微信:q792472177免费电话、后台提交工单这些方式联系道勤主机客服! 如果您不是我们的客户也没问题,点击页面最右边的企业QQ在线咨询图标联系我们并购买后,我们为您免费进行无缝搬家服务,让您享受网站零访问延迟的迁移到道勤主机的服务!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

道勤网- 推荐内容!上一条 /2 下一条

!jz_fbzt! !jz_sgzt! !jz_xgzt! 快速回复 !jz_fhlb! !jz_lxwm! !jz_gfqqq!

关于我们|手机版|小黑屋|地图|【道勤网】-www.daoqin.net 软件视频自学教程|免费教程|自学电脑|3D教程|平面教程|影视动画教程|办公教程|机械设计教程|网站设计教程 ( 皖ICP备15000319号-1 )

GMT+8, 2024-12-23 14:58

Powered by DaoQin! X3.4 © 2016-2063 Dao Qin & 道勤科技

快速回复 返回顶部 返回列表