2021 年 10 月 Web服务器安全漏洞调查

202110 月的调查中,我们收到了来自265,426,928个独特域和11,388,826台面向网络的计算机的1,179,448,021 个站点的回复。这反映了 859 万个站点的损失,但增加了 107 万个域和 20,800 台计算机。

本月由 nginx 网络服务器提供支持的唯一域数量增加了 789,000 个,其总数增加到 7950 万个,其领先的市场份额达到 29.9%。相反,Apache 失去了 753,000 个域名,其第二名的份额下降至 24.7%。与此同时,Cloudflare 获得了 746,000 个域名——几乎与 nginx 一样多——但它以 8.15% 的份额位居第四,而 OpenResty 的份额略有下降至 14.5%。

Cloudflare 在排名前百万的网站中也取得了长足的进步,其份额增加了 0.24 个百分点,达到 18.2%。nginx 以 22.5%(+0.12pp)的份额位居第二,但已经缩小了与 Apache 的差距,Apache 在失去 0.21pp 后仍以 24.0% 领先。

Apache 在活跃站点方面也继续领先,其总数为 4800 万。然而,它是唯一一家在这一指标上下降的主要供应商,损失了 277,000 个活动站点,其份额降至 23.9% (-0.29pp)。在所有站点中,nginx损失最多(-999万),但仍然遥遥领先,总计4.12亿。

Apache 漏洞被广泛利用

Apache 2.4.51于 10 月 7 日发布。这是 2.4.x stable 分支中的最新版本,开发人员认为这是 Apache HTTP Server 的最佳可用版本;但更重要的是,此版本修复了Apache 2.4.49 和 2.4.50 中存在的路径遍历漏洞。Apache 2.4.50 本身在前一天发布,试图修复 2.4.49 中存在的漏洞,但发现修复不足。

该漏洞正在被广泛利用,因此任何仍在运行未修补的 Apache 2.4.49 或 2.4.50 安装的人都应立即升级。在某些情况下,路径遍历漏洞可能有助于在 Web 服务器上远程执行代码。

由于此漏洞的性质,如果 Web 应用程序防火墙 (WAF) 到位,或者如果前端代理或负载平衡器以使其安全的方式修改恶意请求,则一些其他易受攻击的安装可能不会受到攻击。例如,如果启用将URLS 规范化到源,所有通过 Cloudflare 内容交付网络提供服务的易受攻击的 Apache 安装将从一开始就受到保护,并且Cloudflare WAF具有可以阻止许多漏洞利用尝试的规则。

其他供应商和托管新闻

  • 9 月份,Microsoft发布了针对开放管理基础结构 (OMI) 框架中三个特权提升和一个远程代码执行漏洞的修复程序,该框架被多个 Azure 虚拟机管理扩展使用。远程代码执行漏洞只能影响使用启用了远程 OMI 的 Linux 管理解决方案的客户。Microsoft 安全响应中心博客上维护了易受攻击的扩展和更新可用性的完整列表。
  • 微软于 9 月 28 日宣布其Azure Purview数据治理解决方案全面上市。
  • 10 月 5 日,微软取消了Azure NetApp Files裸机云文件存储和数据管理服务的等待名单。
  • lighttpd 1.4.60于 10 月 3 日发布。此版本包含大量更改,包括几个错误修复和改进的 HTTP/2 连接处理。
  • LiteSpeed Web Server 6.0.9于 9 月 20 日发布,以解决多个错误并添加新的日志轮换功能。OpenLiteSpeed 1.7.14 – LiteSpeed Web Server Enterprise 的开源版本 – 于 9 月 7 日发布。
开发商2021 年 9 月百分2021 年 10 月百分改变
nginx422,211,70335.54%412,222,22134.95%-0.59
阿帕奇295,667,36124.89%290,462,41024.63%-0.26
OpenResty77,052,3706.49%76,038,5766.45%-0.04
云耀斑56,362,3634.74%57,482,1034.87%0.13
开发商2021 年 9 月百分2021 年 10 月百分改变
阿帕奇48,288,90424.21%48,011,80123.92%-0.29
nginx40,553,12420.33%41,062,25920.45%0.12
谷歌18,896,7579.47%19,233,4479.58%0.11
云耀斑18,294,6329.17%18,578,6899.25%0.08

有关更多信息,请参阅活动站点

开发商2021 年 9 月百分2021 年 10 月百分改变
阿帕奇242,55824.26%240,43624.04%-0.21
nginx223,77522.38%224,96322.50%0.12
云耀斑180,04318.00%182,42018.24%0.24
微软64,2926.43%63,2116.32%-0.11
开发商2021 年 9 月百分2021 年 10 月百分改变
nginx4,227,28437.18%4,212,32936.99%-0.19
阿帕奇3,503,91830.81%3,506,24330.79%-0.03
微软1,357,22011.94%1,343,52311.80%-0.14
开发商2021 年 9 月百分2021 年 10 月百分改变
nginx78,707,64629.77%79,496,76529.95%0.18
阿帕奇66,328,12925.09%65,574,86824.71%-0.38
OpenResty38,493,03914.56%38,470,51114.49%-0.07
云耀斑20,874,7727.90%21,621,0868.15%0.25

发表评论