组件介绍

Apache HTTP Server是阿帕奇（Apache）基金会的一款开源网页服务器，可以在大多数电脑操作系统中运行，由于其具有的跨平台性和安全性，被广泛使用，是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩展，将Perl/Python等解释器编译到服务器中。

漏洞简介

近日，深信服安全团队监测到一则Apache HTTP Server官方发布安全补丁的通告，共修复了2个安全漏洞，其中包含2个严重漏洞的信息。

严重漏洞描述

Apache HTTP Server目录遍历漏洞（CVE-2021-41773）

该漏洞是由于Apache HTTP Server 2.4.49版本中存在目录穿越漏洞，攻击者可利用该漏洞在未授权的情况下，访问服务器中的未在httpd配置文件中标记为拒绝请求的文件内容，从而导致敏感信息泄露。

Apache HTTP Server目录遍历漏洞（CVE-2021-42013）

该漏洞是由于在Apache HTTP Server 2.4.50版本中对CVE-2021-41773的修复不够完善，攻击者可利用该漏洞绕过修复补丁，并利用目录穿越攻击访问服务器中的文件，造成敏感信息泄露。若httpd中开启了CGI功能，攻击者可构造恶意请求，造成远程代码执行。

如何检测组件系统版本

在服务器后台输入命令

httpd -v

即可查看当前版本号

官方修复建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

https://httpd.apache.org/download.cgi