新版本Apache HTTP Server 2.4.51发布更新(有安全漏洞建议升级)

版本  时间:2021-10-19  阅读:()

今天中午的时候看到群里网友在讨论新版本的Apache HTTP Server 2.4.51发布且建议更新升级,如果有服务器在使用较早版本的话可能需要升级安全,这次的版本中涉及到安全漏洞的问题。Apache HTTP 中2.4.50的修复补丁CVE-2021-41773 修复不完整,导致新的漏洞CVE-2021-42013。攻击者可以使用由类似别名的指令配置将URL映射到目录外的文件的遍历攻击。

这里可以导致目录之外的文件越过默认的“require all denied”的配置,导致可以遍历请求这些文件。如果这些别名启用了CGI 脚本路径,则导致可以进行远程代码执行。

影响版本:

该漏洞影响 Apache 2.4.49 和 Apache 2.4.50,如果是早期的版本是不受影响的。所以,我们有些时候不升级也安全,当然最好还是保持最新版本。

修复问题:

Apache HTTP Server 2.4.51 已发布,2.4.51 主要是修复了在 2.4.50 中发现的安全问题,因此主要的变动是在 2.4.50 中,包括修复安全问题和部分 bug,以及增强功能。

1、mod_rewrite: 修复 [P] 规则的 UDS ("unix:") scheme

2、event mpm: 如果子进程由于 MaxConnectionsPerChild 停掉,可正确地计算父进程中的活动子进程

3、mod_http2: 当一个服务器被优雅地重新启动时,任何空闲的 h2 worker 线程都会被立即关闭。另外,针对 OpenSSL 3.0 中的弃用情况,改变了 OpenSSL API 的使用方式,增加了所有其他的。

4、mod_dav: 正确处理由 dav providers 在 REPORT 请求中返回的错误

5、core: 不在二级连接上安装核心输入/输出过滤器

6、core: 添加 ap_pre_connection() 作为 ap_run_pre_connection() 的封装器,用它来防止运行 pre_connection 钩子的失败导致事后崩溃

7、mod_speling: 添加 CheckBasenameMatch PR 44221

如果我们需要升级的话注意数据备份。

为你推荐
极光KVM-双十二5折促销,全部产品半价特别活动,美国CMI,CN2,去程20G高防 + 回程三网CN2GIA,最低仅24元/月创梦网络-新上雅安电信200G防护值内死扛,无视CC攻击,E5 32核高配/32G内存/1TB SSD/100Mbps独享物理机,原价1299,年未上新促销6折,仅779.4/月,续费同价Vultr服务器用户人均可薅羊毛3美元 且不限时使用云基-专业提供海外服务器洛杉矶GIA线路,鲨鱼机房50G高防云服务器,均采用SSD,更有洛杉矶CN2独服中久数据-2021新年特惠便宜挂机宝5月一月香港1G仅20元/月,美国CERA GIA1G仅33元/月 新上香港、美国cera轻量级KVM整理汇总宝塔面板常用的命令行脚本(解决常规问题)NameCheap账户验证手机短信收不到怎么办VCBMS商家菲律宾机房VPS主机速度和综合评测傲游主机:冷门CN2机房,德国CN2/荷兰CN2(抗投诉),2G内存套餐月付60元起DediPath春节促销:全场VPS/Hybrid Servers/独立服务器5折
版本升级 安卓sdk版本 版本管理系统 查看apache版本 kubernetes版本 数据库版本管理 如何查看kafka版本 版本号管理 数据库版本控制 查看服务器版本 mysql 最新版本 版本管理工具 数据库版本 kubernetes 版本 查看版本 查看linux操作系统版本 产品版本管理 流量变现版本更新说明 mysql版本升级 centos哪个版本稳定 更多