漏洞描述

Apache HTTP Server是阿帕奇（Apache）基金会的一款开源网页服务器。 Apache HTTP Server存在缓冲区溢出漏洞，由于 mod_lua 解析 multipart 内容时可能出现缓冲区溢出，攻击者利用该漏洞可通过精心设计的HTTP请求进行缓冲区溢出攻击。

基本信息

· CVE编号：CVE-2021-44790

· 漏洞类型：命令执行

· 危险等级：高危

· 受影响应用版本：Apache HTTP Server <= 2.4.51

· 检测方式：版本对比

· 是否加入全局：是

· 公布时间： 2021-12-20

· 风险特征：远程利用

· CVSS评分： 8

· CVSS详情： AV:N/AC:L/Au:N/C:P/I:P/A:P

修复建议

1.将 httpd 升级到 2.4.52 及以上版本，下载地址：https://httpd.apache.org/download.cgi

2.若漏洞的检测结果中存在漏洞修复版本，则将漏洞检测结果中的软件包升级到对应漏洞修复版本及以上。

参照安全补丁功能中该漏洞的修复命令进行升级，或者参照以下修复命令进行升级：

CentOS/RHEL/Oracle Linux : sudo yum update -y 需要升级的软件包名(参考检测结果)

SUSE : sudo zypper update -y 需要升级的软件包名(参考检测结果)

Ubuntu/Debian : sudo apt-get update && sudo apt-get install --only-upgrade -y 需要升级的软件包名(参考检测结果)

例：若漏洞的检测结果中主机系统为RedHat 7，软件包名称为 httpd，当前安装版本为 2.4.6-80.el7，对应漏洞修复版本为 2.4.6-97.el7_9.4，则漏洞修复命令为 sudo yum update -y httpd