Релиз http-сервера Apache 2.4.61 с устранением уязвимостей

Доступен релиз HTTP-сервера Apache 2.4.61, который опубликован почти сразу после выпуска 2.4.60 и включает исправление регрессивного изменения, вызвавшего уязвимость (CVE-2024-39884), позволяющую посмотреть код скриптов, обработка которых настроена при помощи директивы AddType (например, можно сформировать специально оформленный запрос к PHP-скрипту, который приведёт к показу его содержимого, а не выполнения).

В версии Apache httpd 2.4.60 устранено 8 уязвимостей, из которых 5 помечены как важные, а также представлено 13 изменений. Выявленные уязвимости:

• CVE-2024-38473 — проблема в mod_proxy, позволяющая через использование некорректной кодировки в URL добиться обхода аутентификации к сервисам на бэкенде.
• CVE-2024-38476 — при наличии уязвимого приложения, используемого в качестве бэкенда, можно добиться выполнения локальных скриптов или утечки информации.
• CVE-2024-38474, CVE-2024-38475 — некорректное экранирование вывода mod_rewrite, позволяет атакующему отразить URL на каталог в локальной ФС, который обрабатывается HTTP-сервером, но недоступен по ссылке.
• CVE-2024-38472 — возможность совершения атаки SSRF против серверов на платформе Windows.
• CVE-2024-39573 — возможность осуществить атаку SSRF (Server-side request forgery) на mod_rewrite, позволяющую добиться обработки URL в mod_proxy при помощи присутствующих в настройках небезопасных правил (RewriteRule).
• CVE-2024-36387 — отказ в обслуживании из-за разыменования нулевого указателя при использовании протокола WebSocket поверх HTTP/2.
• CVE-2024-38477 — отказ в обслуживании при обработке специально оформленного запроса в mod_proxy, вызванный разыменованием нулевого указателя.

Среди не связанных с безопасностью изменений:

• В директивах Listen и VirtualHost добавлена поддержка указания зоны и области действия локальных адресов IPv6.
• Обновлено содержимое файла mime.types.
• В mod_cgid добавлена опциональная поддержка передачи файловых дескрипторов.
• В модуле mod_tls до версии 0.13.0 обновлён пакет rustls-ffi.
• В модуле mod_md, применяемом для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment), появилась директива MDCheckInterval для определения интервала проверки отзыва сертификата.

Источник: opennet.ru