Apache HTTPD Server 2.4.51 发布
知名Apache HTTP服务器项目日前发布最新版本Apache?HTTPD?2.4.51。该版本最新的 Apache Httpd最新的2.4.xGA版本。主要解决了CVE-2021-42013
安全漏洞和其他安全、功能和修复,建议用户及时升级。
目前官方已经放开Apache HTTP Server 2.4.51安装包下载:
主要更新
解决安全漏洞CVE-2021-42013:
在 Apache HTTP Server 2.4.49 和 2.4.50 中路径遍历和远程代码执行(CVE-2021-41773不完整修复)
Apache HTTPD 2.4.50的修复补丁CVE-2021-41773 修复不完整,导致新的漏洞CVE-2021-42013。攻击者可以使用由类似别名的指令配置将URL映射到目录外的文件的遍历攻击。导致目录之外的文件越过默认的“require all denied”的配置,导致可以遍历请求这些文件。如果这些别名启用了CGI 脚本路径,则导致可以进行远程代码执行。
该漏洞影响 Apache 2.4.49 和 Apache 2.4.50,早期版本不受影响。
核心:添加 ap_unescape_url_ex() 以获得更好的解码控制,并弃用未使用的 AP_NORMALIZE_DROP_PARAMETERS 标志。
2.4.51版本需要 Apache Portable Runtime (APR) 1.5.x 和 APR-Util,1.5.x以上版本 某些功能可能需要 1.6.x APR 和 APR-Util 的版本。APR 库必须升级 httpd 的所有功能都可以正常运行。
Apache HTTP Server 2.4 提供了许多改进和增强超过 2.2 版本。该版本构建并扩展了Apache 2.2 API。Apache 2.2编写的模块需要重新编译才能在2.4下运行,并且有可能需要修改源代码。
升级或安装此版本的Apache时,请牢记 如果打算将Apache与其中一个线程 MPM(其他Prefork MPM),必须确保将使用的任何模块using(以及它们依赖的库)是线程安全的。
注意 2.2.x 分支现在已经结束版本的生命周期,并且不会进一步更新。用户必须立即升级到2.4.x。一般情况下虫虫建议使用Nginx代替Apache。
- 发表于:
- 原文链接:https://kuaibao.qq.com/s/20211008A07BTG00?refer=cp_1026
- 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
- 如有侵权,请联系 cloudcommunity@tencent.com 删除。
相关快讯
扫码
添加站长 进交流群
领取专属 10元无门槛券
私享最新 技术干货
腾讯云开发者
