主机频道
各位站长朋友们,赶紧检查下自己服务器上的Apache版本!官方刚刚发布了Apache HTTP Server 2.4.51,这可不是一次普通的功能更新,而是一个紧急安全修复,强烈建议大家马上跟进升级。
这事儿说起来有点乌龙。前不久的Apache 2.4.50版本,本来是为了修复一个路径穿越漏洞(CVE-2021-41773),结果补丁打得不够彻底,留了个尾巴,直接导致了一个新的、更严重的安全漏洞(CVE-2021-42013)。这个新漏洞允许攻击者通过精心构造的URL,绕过网站目录的限制,读取到服务器上本不该被公开访问的文件。更可怕的是,如果你的某些路径配置了CGI脚本,这个漏洞甚至可能升级为远程代码执行(RCE),那后果就相当严重了,等于把服务器的控制权拱手让人。
影响版本:
需要特别注意的是,这次漏洞主要影响的是 Apache 2.4.49 和 2.4.50 这两个版本。如果你用的是更老的版本,反倒是“幸免于难”。这事儿也挺有意思,有时候不追新反而更安全,但从长远来看,我个人还是建议大家养成及时更新到最新稳定版的习惯。
修复问题:
新发布的 Apache HTTP Server 2.4.51 版本,首要任务就是把上面提到的那个大窟窿给彻底堵上。除此以外,也包含了一些在 2.4.50 版本中的其他修复和功能增强,我把主要的更新点给大家列一下:
- 1、mod_rewrite: 修复了 [P] 规则下 UDS ("unix:") scheme 的一个问题。
- 2、event mpm: 解决了子进程因 MaxConnectionsPerChild 设置而停止时,父进程中活动子进程计数不准的 bug。
- 3、mod_http2: 优化了 h2 worker 线程的关闭逻辑,尤其是在服务器平滑重启时。同时,为了兼容 OpenSSL 3.0,调整了 OpenSSL API 的使用方式。
- 4、mod_dav: 确保能正确处理来自 dav providers 在 REPORT 请求中返回的错误。
- 5、core: 核心层面,避免在二级连接上安装核心I/O过滤器。
- 6、core: 增加了一个 ap_pre_connection() 封装器,防止 pre_connection 钩子运行失败时导致程序崩溃。
- 7、mod_speling: 添加了 CheckBasenameMatch PR 44221。
最后再啰嗦一句,升级有风险,操作需谨慎。在动手升级前,切记、切记、切记要做好数据备份!不管是快照还是手动打包,给自己留条后路总是没错的。
评论前必须登录!
注册