Apache Portable Runtime越界读取漏洞（CVE-2021-35940）预警

一、漏洞情况

8月23日，Apache发布了Apache Portable Runtime 1.7.0版本存在越界读取漏洞的风险通告，该漏洞CVE编号：CVE-2021-35940。攻击者可利用该漏洞读取内存内容或执行拒绝服务攻击。建议受影响用户及时更新漏洞补丁进行防护，做好资产自查以及预防工作，以免遭受黑客攻击。

二、漏洞等级

高危

三、漏洞描述

Apache Portable Runtime（APR，Apache可移植运行库）是美国阿帕奇（Apache）基金会的一个为上层应用程序提供可跨越多个操作系统平台使用的底层支持接口库。

该漏洞源于apr_time_exp*()函数中的越界数组读取错误，远程攻击者可通过创建特制的文件并诱导用户打开，触发越界读取错误，从而实现读取内存内容或执行拒绝服务攻击。

四、影响范围

Apache Portable Runtime 1.7.0

五、安全建议

目前厂商已发布补丁修复该漏洞，建议受影响的用户尽快安装更新。

下载链接：

https://downloads.apache.org/apr/patches/apr-1.7.0-CVE-2021-35940.patch

六、参考链接

• https://lists.apache.org/thread.html/rb1f3c85f50fbd924a0051675118d1609e57957a02ece7facb723155b@%3Cannounce.apache.org%3E
• http://www.openwall.com/lists/oss-security/2021/08/23/1