Web 服务器请求伪造漏洞的升级与修复建议

10月13日，相关厂商发布了安全更新，修复了 httpd Web 服务器中的请求伪造漏洞。以下是漏洞要点：

漏洞要点

CVE-2021-40438 CVSS 9.0 高危

在 httpd 的 Mod_Proxy 组件中发现了服务器端请求伪造（SSRF）漏洞。未经身份验证的远程攻击者可以让服务器将请求转发到任意目标，从而访问、修改或删除防火墙后面的资源。影响程度取决于网络中可用的服务与资源。

受影响的产品与版本

• Extended Update Support 8.1 x86_64
• Extended Update Support 8.1 s390x
• Extended Update Support 8.1 pPC64le
• Extended Update Support 8.1 aarch64
• Update Services for SAP solutions 8.1 pPC64le
• Update Services for SAP solutions 8.1 x86_64

解决方案

已发布安全更新，将 httpd 模块升级至 2.4 版本即可修复此漏洞。有关应用更新及变更的详细信息，请参阅相关公告。安装更新后，httpd 守护进程将自动重启。

更多漏洞信息与升级请访问官方安全公告页面： [[[IMG_1]]]