雷神眾測漏洞周報2021.09.27-2021.10.10-4

1.Apache HTTPd 2.4.49/2.4.50 路徑穿越與命令執(zhí)行漏洞

漏洞介紹：

Apache HTTPd是Apache基金會開源的一款流行的HTTP服務(wù)器。

漏洞危害：

由于對CVE-2021-41773 Apache HTTPd 2.4.49 路徑穿越漏洞的修復(fù)不完善，攻擊者可構(gòu)造惡意請求繞過補(bǔ)丁，利用穿越漏洞讀取到Web目錄之外的其他文件。同時若Apache HTTPd開啟了cgi支持，攻擊者可構(gòu)造惡意請求執(zhí)行命令，控制服務(wù)器。

漏洞編號：

CVE-2021-42013

影響范圍：

Apache HTTPd 2.4.49/2.4.50版本

修復(fù)方案：

1、若非2.4.49/2.4.50版本，可不升級。

2、若Apache HTTPd為 2.4.49版本或2.4.50版本，請盡快升級至最新版本。

來源: 阿里云應(yīng)急響應(yīng)??

3. VMware vCenter Server代碼執(zhí)行漏洞

漏洞介紹：

Vmware VMware vCenter Server是美國威睿（Vmware）公司的一套服務(wù)器和虛擬化管理軟件。該軟件提供了一個用于管理VMware vSphere環(huán)境的集中式平臺，可自動實施和交付虛擬基礎(chǔ)架構(gòu)。

漏洞危害：

VMware vCenter Server存在代碼執(zhí)行漏洞，通過身份驗證的遠(yuǎn)程VAMI攻擊者可向端口5480 TCP發(fā)送一個特別設(shè)計的請求，并在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。?

漏洞編號：

CVE-2021-22014

影響范圍：

VMWare vCenter Server 7

修復(fù)建議：

及時測試并升級到最新版本或升級版本

來源：CNVD