Релиз http-сервера Apache 2.4.62 с устранением 2 уязвимостей

Доступен релиз HTTP-сервера Apache 2.4.62, в котором устранены две уязвимости и внесено 6 изменений. Первая уязвимость (CVE-2024-40898) позволяет совершить атаку SSRF (Server-side request forgery) на mod_rewrite. Проблема проявляется только на платформе Windows и при отправке специально оформленных запросов может привести к утечке NTLM-хэшей на сервер, подконтрольный атакующим.

Вторая уязвимость (CVE-2024-40725) позволяет посмотреть код скриптов, обработка которых настроена при помощи директивы AddType. Например, можно сформировать специально оформленный запрос к PHP-скрипту, который приведёт к показу его содержимого, а не выполнения. Исправление блокирует дополнительный вариант эксплуатации уязвимости CVE-2024-39884, устранённой версии 2.4.61.

Из не связанных с безопасностью изменений выделяется добавление в mod_ssl возможности загрузки сертификатов и ключей из хранилищ, поддерживающих стандарт pkcs11.

В соответствии с июньским отчётом компании Netcraft под управлением http-сервера Apache работает около 212 млн сайтов (год назад 228 млн). Доля Apache httpd оценивается в 19.28% от всех сайтов, что соответствует второму месту по популярности в данной категории (доля Nginx — 21.35%, Cloudflare — 11.05%, OpenResty (платформа на базе nginx и LuaJIT) — 0.79%). При рассмотрении только активных сайтов Apache занимает первое место в рейтинге с долей 19.13% (доля Nginx — 18.09%, Cloudflare — 14.80%, Google — 10.01%). Среди миллиона самых посещаемых сайтов в мире Apache находится на третьем месте с долей 19.69% (лидируют Cloudflare — 23.10% и Nginx — 20.50%).

Источник: opennet.ru