Security Note
반응형
article thumbnail
[CVE-2021-41773 / CVE-2021-42013] Apache HTTP Server Path Traversal 취약점
취약점 진단/CVE 2023. 3. 6. 19:41

Apache HTTP Server 2.4.49 / 2.4.50에서 발견된 취약점으로 경로 탐색 문자열에 대한 필터링 미흡으로 발생하는 취약점이다. 취약점 설명 상위 디렉토리를 의미하는 문자열 "../" 에 대한 필터링이 미흡해 발생한 취약점 Apache는 기본적으로 ../ 문자열을 차단 시키지만 URL 인코딩을 통해 우회가 가능하다. 2.4.49에서 해당 취약점을 조치했지만 URL 더블 인코딩으로 우회가 가능하다. ../ 차단 %2E%2E/ 허용(2.4.49 / CVE-2021-41773) .%%32%65/허용(2.4.50 / CVE-2021-42013) 2.4.51 버전에서 조치가 완료되었다. 위험성 위 문제로 인해 정확한 사례는 찾아볼 수 없지만 서버 내 중요파일 등을 획등할 수 있다 중요파일 예) ..