防微杜渐！Apache HTTP Server 2.4.49 版本安全漏洞分析（CVE-2021-41773 和 CVE-2021-42013）

Apache HTTP Server 是全球最受欢迎的 Web 服务器之一，广泛应用于各种网站和应用系统中。2021 年 9 月，Apache Software Foundation 发布了 Apache HTTP Server 2.4.49 版本，修复了两个安全漏洞：CVE-2021-41773 和 CVE-2021-42013。

CVE-2021-41773 漏洞分析

CVE-2021-41773 漏洞是由于 Apache HTTP Server 2.4.49 版本使用的 ap_normalize_path 函数在对路径参数进行规范化时会先进行 url 解码，然后判断是否存在“.”或“/”。如果路径参数中包含“%2e”或“%2f”，则 ap_normalize_path 函数会将它们分别解码为“.”和“/”，从而导致路径参数被截断或修改。

该漏洞的危害在于攻击者可以利用它来绕过 Apache HTTP Server 的目录限制或文件访问控制。例如，攻击者可以构造一个特殊的 URL 请求，其中包含经过精心设计的路径参数，从而绕过 Apache HTTP Server 的目录限制并访问敏感文件。

CVE-2021-42013 漏洞分析

CVE-2021-42013 漏洞是由于 Apache HTTP Server 2.4.49 版本在处理某些请求时可能会导致内存泄漏。当 Apache HTTP Server 处理一个请求时，它会在内存中分配一个缓冲区来存储请求数据。如果请求数据过多，则缓冲区可能会溢出，导致内存泄漏。

该漏洞的危害在于攻击者可以利用它来耗尽 Apache HTTP Server 的内存资源，从而导致 Apache HTTP Server 崩溃或服务中断。例如，攻击者可以构造一个特殊的 HTTP 请求，其中包含大量数据，从而触发内存泄漏并耗尽 Apache HTTP Server 的内存资源。

安全建议和解决方案

为了修复 CVE-2021-41773 和 CVE-2021-42013 漏洞，Apache Software Foundation 建议用户尽快升级到 Apache HTTP Server 2.4.50 或更高版本。

除了升级 Apache HTTP Server 版本之外，用户还应该采取以下安全措施来降低漏洞的风险：

• 启用 mod_security 等 Web 应用防火墙来过滤恶意请求。
• 限制用户对敏感文件的访问权限。
• 定期扫描 Web 服务器以查找安全漏洞。
• 使用强密码并定期更换密码。