ProHoster > Blog > internet nyheder > Apache 2.4.61 http-serverudgivelse med sårbarheder rettet

Apache 2.4.61 http-serverudgivelse med sårbarheder rettet

Apache HTTP Server 2.4.61 er tilgængelig, som blev udgivet næsten umiddelbart efter udgivelsen af ​​2.4.60 og indeholder en rettelse til regressionsændringen, der forårsagede sårbarheden (CVE-2024-39884), som giver dig mulighed for at se scriptkoden der er konfigureret til at blive behandlet ved hjælp af AddType-direktivet (du kan f.eks. oprette en specialdesignet anmodning til et PHP-script, som vil føre til visning af dets indhold i stedet for at udføre det).

Apache httpd 2.4.60 retter 8 sårbarheder, hvoraf 5 er markeret som vigtige, og introducerer 13 ændringer. Identificerede sårbarheder:

  • CVE-2024-38473 er ​​et problem i mod_proxy, der tillader autentificeringsomgåelse for tjenester på backend gennem brug af forkert URL-kodning.
  • CVE-2024-38476 – Hvis der er en sårbar applikation, der bruges som backend, kan der forekomme lokal scriptudførelse eller informationslækage.
  • CVE-2024-38474, CVE-2024-38475 - ukorrekt mod_rewrite-output-escape tillader en angriber at afspejle en URL til en mappe i det lokale filsystem, som behandles af HTTP-serveren, men som ikke er tilgængelig via et link.
  • CVE-2024-38472 - Mulighed for at udføre SSRF-angreb mod servere på platformen Windows.
  • CVE-2024-39573 - en mulighed for at udføre et SSRF (Server-side request forgery) angreb på mod_rewrite, som tillader URL-behandling i mod_proxy ved hjælp af usikre regler (RewriteRule), der findes i indstillingerne.
  • CVE-2024-36387 Et lammelsesangreb på grund af en NULL pointer-dereference ved brug af WebSocket-protokollen over HTTP/2.
  • CVE-2024-38477 Et lammelsesangreb ved behandling af en specielt udformet anmodning i mod_proxy, forårsaget af en NULL pointer-dereference.

Ikke-sikkerhedsmæssige ændringer omfatter:

  • Tilføjet understøttelse til at specificere zonen og omfanget af lokale IPv6-adresser i Listen- og VirtualHost-direktiverne.
  • Indholdet af mime.types-filen er blevet opdateret.
  • Tilføjet valgfri support til at overføre filbeskrivelser til mod_cgid.
  • I mod_tls-modulet er rustls-ffi-pakken blevet opdateret til version 0.13.0.
  • Mod_md-modulet, der bruges til at automatisere modtagelse og vedligeholdelse af certifikater ved hjælp af ACME-protokollen (Automatic Certificate Management Environment), har nu et MDCheckInterval-direktiv til at bestemme intervallet for certifikattilbagekaldelseskontrol.

Kilde: opennet.ru

Køb pålidelig hosting til websteder med DDoS-beskyttelse, VPS VDS-servere 🔥 Køb pålidelig webhosting med DDoS-beskyttelse, VPS VDS-servere | ProHoster