最近扫描器发现了一个漏洞:CVE编号为 CVE-2021-33193,全名叫做 Apache HTTP Server 安全特性绕过漏洞(CVE-2021-33193)。而扫描器给的修复建议是:“未发布安全补丁,请关注官方信息”。
这个显然不对,一般来说,未发布安全补丁只有这么几种情况。
- 漏洞太新了,厂商未来得及发布新版本。
- 组件太老旧,已经没人维护了。
- 是安全厂商和开发者未达成一致,开发者选择不修补。
显然,这个2021年的Apache漏洞都不属于以上几种,应该是扫描器的漏洞信息未更新。即漏洞发布时Apache未发布新版本,后续的版本发布漏洞库未能跟进更新。
这个对安全团队的工作会造成困扰,例如有一个场景场景:基于安全扫描器自动创建工单,最关键的修复建议信息不准确。随即就会有邮件来询问安全Team漏洞和解,浪费人力不说,还影响安全团队的对外信誉。
简单比对一下各个漏洞库的更新情况,发现:国内漏洞库暂只看到奇安信漏洞库显示正确。国外漏洞库发现IBM显示正确。
具体如下:
| 漏洞库 | PK项 | 是否提示修复版本 |
|---|---|---|
| 奇安信NOX漏洞库 | CVE-2021-33193 的漏洞描述信息是否最新 | ✅ |
| IBM威胁情报 | 同上 | ✅ |
| 国家漏洞库 | 同上 | ❌ |
| 阿里云漏洞库 | 同上 | ❌ |
| 绿盟漏洞库 | 同上 | ❌ |
| XRay漏洞库 | 同上 | ❌ |
| 微步在线 | 同行 | ❌ |
数据备忘
国家漏洞库(CNNVD) 标记:
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:https://github.com/apache/
阿里云漏洞库标记:
目前厂商暂未发布修复措施解决此安全问题。
绿盟漏洞库标记
厂商补丁:
Apache目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
https://github.com/apache/
XRay漏洞库:
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:https://github.com/apache/
威胁情报库 微步在线:
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:https://github.com/apache/
奇安信漏洞库:
升级至安全版本: Apache HTTP Server 2.4.49
IBM漏洞库标记:
Upgrade to the latest version of Apache HTTP Server (2.4.49 or later), available from the Apache GIT Repository. See References.