ProHoster > Blog > noticias de internet > Lanzamiento del servidor http Apache 2.4.64 con eliminación de 8 vulnerabilidades

Lanzamiento del servidor http Apache 2.4.64 con eliminación de 8 vulnerabilidades

Se ha lanzado Apache HTTP Server 2.4.64, que corrige 8 vulnerabilidades e introduce 19 cambios.

Vulnerabilidades corregidas (las primeras 4 son de gravedad moderada, el resto son de gravedad baja):

  • CVE-2024-42516 - Es posible un ataque de división de respuesta HTTP en sistemas frontend-backend, lo que permite que el contenido del encabezado Content-Type en una respuesta se divida para inyectar contenido en las respuestas a otros usuarios procesadas en el mismo hilo entre el frontend y el backend.
  • CVE-2024-43394 es una vulnerabilidad SSRF (falsificación de solicitud del lado del servidor) específica de Windows que, al enviar solicitudes especialmente diseñadas, puede provocar la fuga de hashes NTLM a un servidor controlado por el atacante.
  • CVE-2025-53020: Vulnerabilidad de denegación de servicio HTTP/2 que provoca un consumo excesivo de memoria.
  • CVE-2025-49812 - Una vulnerabilidad en mod_ssl permite a un atacante intermediario (MITM) realizar una sustitución de sesión HTTP al interferir con la transición de HTTP a HTTPS.
  • CVE-2025-23048 – Omisión de restricciones de acceso en mod_ssl al restaurar una sesión interrumpida.
  • CVE-2025-49630: Vulnerabilidad de denegación de servicio que provoca el bloqueo del módulo mod_proxy_http2.
  • CVE-2024-47252: Escape de caracteres incorrecto en la información del registro de errores de mod_ssl.
  • CVE-2024-43204 - Una vulnerabilidad SSRF en mod_headers permite que mod_proxy envíe una solicitud saliente a una dirección especificada por el atacante.

Las mejoras no relacionadas con la seguridad incluyen:

  • Se agregó soporte de activación de socket a mod_systemd.
  • El módulo mod_http2 se ha actualizado con la directiva H2MaxHeaderBlockLen para limitar el tamaño de los encabezados HTTP en una respuesta.
  • mod_http2 proporciona el registro de información sobre la duración de las solicitudes HTTP/2.
  • El módulo mod_md se ha actualizado con las directivas DProfile y MDProfileMandatory para admitir una extensión del protocolo ACME que implementa perfiles de certificado.

Fuente: opennet.ru

avatar del autor
ProHoster Consultor, Especialista Técnico
Un especialista técnico en ProHoster Con más de seis años de experiencia en administración de servidores, soluciones VPN y seguridad de redes, gestiono la configuración y el soporte de la infraestructura, superviso la estabilidad del servicio e implemento soluciones para proteger los datos de los clientes. También contribuyo a la optimización del rendimiento y al cumplimiento de los requisitos modernos de seguridad y privacidad.
Ver biografía completa
VPN VPS Alojamiento Compartido SSL
icono de red social icono de red social icono de red social icono de red social icono de red social

Añadir un comentario