ProHoster > Blog > internet nuus > Apache 2.4.61 http-bedienervrystelling met kwesbaarhede opgelos

Apache 2.4.61 http-bedienervrystelling met kwesbaarhede opgelos

Apache HTTP Server 2.4.61 is beskikbaar, wat amper onmiddellik na die vrystelling van 2.4.60 gepubliseer is en 'n oplossing vir die regressieverandering insluit wat die kwesbaarheid veroorsaak het (CVE-2024-39884), wat jou toelaat om die kode van skrifte te sien wat gekonfigureer is om verwerk te word met behulp van die AddType-aanwysing (jy kan byvoorbeeld 'n spesiaal ontwerpte versoek na 'n PHP-skrip skep, wat sal lei tot die vertoon van die inhoud daarvan eerder as om dit uit te voer).

Apache httpd 2.4.60 stel 8 kwesbaarhede reg, waarvan 5 as belangrik gemerk is, en stel 13 veranderinge in. Geïdentifiseerde kwesbaarhede:

  • CVE-2024-38473 is 'n probleem in mod_proxy wat stawingsomleiding vir dienste op die agterkant toelaat deur die gebruik van verkeerde URL-kodering.
  • CVE-2024-38476 – As daar 'n kwesbare toepassing is wat as 'n backend gebruik word, kan plaaslike skrifuitvoering of inligtinglek voorkom.
  • CVE-2024-38474, CVE-2024-38475 - verkeerde mod_rewrite-uitset-ontsnap laat 'n aanvaller toe om 'n URL te reflekteer na 'n gids in die plaaslike lêerstelsel wat deur die HTTP-bediener verwerk word, maar nie toeganklik is via 'n skakel nie.
  • CVE-2024-38472 - Moontlikheid om SSRF-aanval uit te voer teen bedieners op die platform Windows.
  • CVE-2024-39573 - 'n moontlikheid om 'n SSRF (Server-side request forgery)-aanval op mod_rewrite uit te voer, wat URL-verwerking in mod_proxy moontlik maak met behulp van onveilige reëls (RewriteRule) wat in die instellings teenwoordig is.
  • CVE-2024-36387 'n Ontkenning van diens as gevolg van 'n NULL-wyserverwysing wanneer die WebSocket-protokol oor HTTP/2 gebruik word.
  • CVE-2024-38477 'n Ontkenning van diens wanneer 'n spesiaal vervaardigde versoek in mod_proxy verwerk word, wat veroorsaak word deur 'n NULL-wyserverwysing.

Nie-sekuriteitsveranderinge sluit in:

  • Bygevoeg ondersteuning om die sone en omvang van plaaslike IPv6-adresse in die Luister- en VirtualHost-riglyne te spesifiseer.
  • Die inhoud van die mime.types-lêer is opgedateer.
  • Opsionele ondersteuning bygevoeg om lêerbeskrywers na mod_cgid deur te gee.
  • In die mod_tls-module is die rustls-ffi-pakket opgedateer na weergawe 0.13.0.
  • Die mod_md-module, wat gebruik word om die ontvangs en instandhouding van sertifikate te outomatiseer deur die ACME (Automatic Certificate Management Environment) protokol te gebruik, het nou 'n MDCheckInterval-aanwysing om die sertifikaatherroepingskontrole-interval te bepaal.

Bron: opennet.ru

Koop betroubare hosting vir werwe met DDoS-beskerming, VPS VDS-bedieners 🔥 Koop betroubare webwerfhosting met DDoS-beskerming, VPS VDS-bedieners | ProHoster