近日，Apache软件基金会官方发布公告，披露了一个ApacheHTTPServer任意文件读取漏洞(CVE-2021-41773)，攻击者利用漏洞可完全控制服务器。目前该漏洞POC（概念验证代码）已公开，且存在被网络黑产利用进行挖矿木马和僵尸网络等攻击行为的风险。网御星云漏洞扫描产品团队和基线核查产品团队第一时间对漏洞进行了紧急响应。

ApacheHTTPServer是美国阿帕奇（Apache）基金会的一款开源网页服务器。该服务器具有快速、可靠、可通过简单的API进行扩充等特点。ApacheHTTPServer存在任意文件读取漏洞，攻击者可利用该漏洞通过一个精心设计的请求URL路径来读取任意文件。该漏洞的综合评级为“高危”。

数据来源

https://httpd.apache.org/security/vulnerabilities_24.html

漏洞危害

以下产品及版本受到影响：

ApacheHTTPServer2.4.492

漏洞检测应对方案

网御星云漏洞扫描系统应对方案：

网御星云漏洞扫描系统V6.0已于2021年10月8日紧急发布针对该漏洞的升级包，支持对该漏洞进行原理扫描，用户升级网御星云漏洞扫描系统漏洞库后即可对该漏洞进行扫描。

6070版本升级包为607000383，升级包下载地址：

https://leadsec.download.venuscloud.cn/

请网御星云漏洞扫描系统V6.0产品用户尽快升级到最新版本，及时对该漏洞进行检测，以便尽快采取防范措施。

网御星云Web应用检测系统应对方案：

网御星云Web应用检测系统已于2021年10月8日紧急发布针对该漏洞的升级包，支持对该漏洞进行扫描，用户升级网御星云Web漏扫产品漏洞库后即可对该漏洞进行扫描。

升级包版本：V2.9.4，升级包下载地址：

https://leadsec.download.venuscloud.cn/

请网御星云Web应用检测系统产品用户尽快升级到最新版本，及时对该漏洞进行检测，以便尽快采取防范措施。

网御星云安全配置核查管理系统应对方案：

网御星云安全配置核查管理系统已于2021年10月8日紧急发布针对该漏洞的核查资源包，支持对该漏洞进行核查，用户升级网御星云安全配置核查管理系统资源包后即可对该漏洞进行核查。

请网御星云安全配置核查管理系统产品用户尽快升级最新资源包，及时对该漏洞进行检测，以便尽快采取防范措施。

漏洞修复建议

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：

https://httpd.apache.org/

网御星云将持续关注此漏洞和后续动态并及时提供解决方案，敬请期待！