1、组件介绍

Apache HTTP Server是阿帕奇（Apache）基金会的一款开源网页服务器，可以在大多数电脑操作系统中运行，由于其具有的跨平台性和安全性，被广泛使用，是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩展，将Perl/Python等解释器编译到服务器中。

2、漏洞简介

 近日，深信服安全团队监测到一则Apache HTTP Server官方发布安全补丁的通告，修复了两个严重漏洞。

Apache HTTP Server目录遍历漏洞CVE-2021-41773

该漏洞是由于Apache HTTP Server 2.4.49版本中存在目录穿越漏洞，攻击者可利用该漏洞在未授权的情况下，访问服务器中的未在httpd配置文件中标记为拒绝请求的文件内容，从而导致敏感信息泄露。

Apache HTTP Server目录遍历漏洞CVE-2021-42013

该漏洞是由于在Apache HTTP Server 2.4.50版本中对CVE-2021-41773的修复不够完善，攻击者可利用该漏洞绕过修复补丁，并利用目录穿越攻击访问服务器中的文件，造成敏感信息泄露。若httpd中开启了CGI功能，攻击者可构造恶意请求，造成远程代码执行。

Apache HTTP Server具有优秀的跨平台性，可以运行在目前主流的操作系统上，由于其强大的功能和跨平台性而被广泛使用。可能受漏洞影响的资产广泛分布于世界各地。

    国内主要分布在广东、北京和浙江等地。

1、如何检测组件系统版本

httpd -v

2、官方修复建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

https://httpd.apache.org/download.cgi

3、深信服解决方案

【深信服下一代防火墙AF】可防御这些漏洞，建议用户将深信服下一代防火墙开启 WAF防护策略，并更新最新安全防护规则，即可轻松抵御此高危风险。

【深信服安全感知管理平台SIP】结合云端实时热点高危/紧急漏洞信息，可快速检出业务场景下的这些漏洞，并可联动【深信服下一代防火墙等产品AF】实现对攻击者IP的封堵。

【深信服安全云眼CloudEye】在（CVE-2021-41773,CVE-2021-42013）爆发之初，已完成检测更新，对所有用户网站探测，保障用户安全。不清楚自身业务是否存在漏洞的用户，可注册信服云眼账号，获取30天免费安全体验。

注册地址：http://saas.sangfor.com.cn

【深信服云镜JY】在（CVE-2021-41773,CVE-2021-42013）爆发第一时间即完成检测能力的发布，部署了云镜的用户可以通过升级来快速检测网络中是否受该高危风险影响，避免被攻击者利用。离线使用云镜的用户需要下载离线更新包来获得漏洞检测能力，可以连接云端升级的用户可自动获得漏洞检测能力。