知名Apache HTTP服务器项目日前发布最新版本Apache HTTPD 2.4.51。该版本最新的 Apache HTTPD最新 2.4.x GA版本。主要解决了CVE-2021-42013

安全漏洞和其他安全、功能和修复，建议用户及时升级。

目前官方已经放开Apache HTTP Server 2.4.51安装包下载：

主要更新

解决安全漏洞CVE-2021-42013：

在 Apache HTTP Server 2.4.49 和 2.4.50 中路径遍历和远程代码执行（CVE-2021-41773不完整修复)

Apache HTTP 中2.4.50的修复补丁CVE-2021-41773 修复不完整，导致新的漏洞CVE-2021-42013。攻击者可以使用由类似别名的指令配置将URL映射到目录外的文件的遍历攻击。导致目录之外的文件越过默认的“require all denied”的配置，导致可以遍历请求这些文件。如果这些别名启用了CGI 脚本路径，则导致可以进行远程代码执行。

该漏洞影响 Apache 2.4.49 和 Apache 2.4.50，早期版本不受影响。

核心：添加 ap_unescape_url_ex() 以获得更好的解码控制，并弃用未使用的 AP_NORMALIZE_DROP_PARAMETERS 标志。

2.4.51版本需要 Apache Portable Runtime (APR) 1.5.x 和 APR-Util，1.5.x以上版本 某些功能可能需要 1.6.x APR 和 APR-Util 的版本。APR 库必须升级 httpd 的所有功能都可以正常运行。

Apache HTTP Server 2.4 提供了许多改进和增强超过 2.2 版本。该版本构建并扩展了Apache 2.2 API。Apache 2.2编写的模块需要重新编译才能在2.4下运行，并且有可能需要修改源代码。

升级或安装此版本的Apache时，请牢记 如果打算将Apache与其中一个线程 MPM（其他Prefork MPM），必须确保将使用的任何模块using（以及它们依赖的库）是线程安全的。

注意 2.2.x 分支现在已经结束版本的生命周期，并且不会进一步更新。用户必须立即升级到2.4.x。一般情况下虫虫建议使用Nginx代替Apache。