[CVE-2021-44244/CVE-2021-44790] Apache HTTPD 취약점
https://threatpost.com/apache-httpd-server-bugs-rce-dos/177234/
Critical Apache HTTPD Server Bugs Could Lead to RCE, DoS
Don't freak: It's got nothing to do with Log4Shell, except it may be just as far-reaching as Log4j, given HTTPD's tendency to tiptoe into software projects.
threatpost.com
CVE-2021-44244
- 내용 : Apache HTTP Server 2.4.51 및 이전 버전과 마찬가지로 정방향 프록시 구성에서 NULL 역참조 또는 SSRF(서버 측 요청 위조)가 발생할 수 있습니다.
- CVSS score : 8.2
- 영향받는 버전 : 2.4.7 이상 2.4.51 이하
- 대응방법: 2.4.52 버전으로 업그레이드
CVE-2021-44790
- 내용 : Apache HTTP Server 2.4.51 및 이전 버전의 mod_lua 멀티파트 파서에서 신중하게 조작된 요청을 구문 분석할 때 버퍼 오버플로가 발생할 수 있습니다. Apache는 HTTPD 팀이 익스플로잇을 본 적이 없지만 "만드는 것이 가능할 수도 있다"
- CVSS score : 9.8
- 영향받는 버전 : 2.4.51 이하
- 대응방법: 2.4.52 버전으로 업그레이드
https://httpd.apache.org/security/vulnerabilities_24.html
Apache HTTP Server 2.4 vulnerabilities - The Apache HTTP Server Project
2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17, 2.4.16, 2.4.12, 2.4.10, 2.4.9, 2.4.7, 2.4.6, 2.4.4, 2.4.3, 2.4.2, 2.4.1, 2.2.34, 2.2.32, 2.2.31, 2.2.29, 2.2.27, 2.2.26, 2.2.25, 2.2.24, 2.2.23, 2.2.22, 2.2.21, 2.2.20, 2.2.19, 2.2.18, 2.2.17, 2.2.16,
httpd.apache.org
https://httpd.apache.org/download.cgi
Download - The Apache HTTP Server Project
Downloading the Apache HTTP Server Use the links below to download the Apache HTTP Server from one of our mirrors. You must verify the integrity of the downloaded files using signatures downloaded from our main distribution directory. The signatures can be
httpd.apache.org
redhat 패키지 errata
https://access.redhat.com/security/cve/cve-2021-44790
Red Hat Customer Portal - Access to 24x7 support and knowledge
Copyright © 2021 Red Hat, Inc.
access.redhat.com
레드햇 httpd 패키지도 영향을 받으며, 현재 패치 되지 않았다.