前言:
当前各位老铁们对“apachethread”大致比较关切,各位老铁们都想要分析一些“apachethread”的相关资讯。那么小编同时在网上汇集了一些有关“apachethread””的相关文章,希望大家能喜欢,朋友们快快来了解一下吧!知名Apache HTTP服务器项目日前发布最新版本Apache HTTPD 2.4.51。该版本最新的 Apache HTTPD最新 2.4.x GA版本。主要解决了CVE-2021-42013
安全漏洞和其他安全、功能和修复,建议用户及时升级。
目前官方已经放开Apache HTTP Server 2.4.51安装包下载:
主要更新
解决安全漏洞CVE-2021-42013:
在 Apache HTTP Server 2.4.49 和 2.4.50 中路径遍历和远程代码执行(CVE-2021-41773不完整修复)
Apache HTTP 中2.4.50的修复补丁CVE-2021-41773 修复不完整,导致新的漏洞CVE-2021-42013。攻击者可以使用由类似别名的指令配置将URL映射到目录外的文件的遍历攻击。导致目录之外的文件越过默认的“require all denied”的配置,导致可以遍历请求这些文件。如果这些别名启用了CGI 脚本路径,则导致可以进行远程代码执行。
该漏洞影响 Apache 2.4.49 和 Apache 2.4.50,早期版本不受影响。
核心:添加 ap_unescape_url_ex() 以获得更好的解码控制,并弃用未使用的 AP_NORMALIZE_DROP_PARAMETERS 标志。
2.4.51版本需要 Apache Portable Runtime (APR) 1.5.x 和 APR-Util,1.5.x以上版本 某些功能可能需要 1.6.x APR 和 APR-Util 的版本。APR 库必须升级 httpd 的所有功能都可以正常运行。
Apache HTTP Server 2.4 提供了许多改进和增强超过 2.2 版本。该版本构建并扩展了Apache 2.2 API。Apache 2.2编写的模块需要重新编译才能在2.4下运行,并且有可能需要修改源代码。
升级或安装此版本的Apache时,请牢记 如果打算将Apache与其中一个线程 MPM(其他Prefork MPM),必须确保将使用的任何模块using(以及它们依赖的库)是线程安全的。
注意 2.2.x 分支现在已经结束版本的生命周期,并且不会进一步更新。用户必须立即升级到2.4.x。一般情况下虫虫建议使用Nginx代替Apache。
标签: #apachethread