ProHoster > Blag > nuacht idirlín > Scaoileadh freastalaí Apache 2.4.61 http le leochaileachtaí socraithe

Scaoileadh freastalaí Apache 2.4.61 http le leochaileachtaí socraithe

Tá Apache HTTP Server 2.4.61 ar fáil, a foilsíodh beagnach díreach tar éis scaoileadh 2.4.60 agus folaíonn sé deisiú don athrú aischéimnithí ba chúis leis an leochaileacht (CVE-2024-39884), a ligeann duit an cód scripteanna a fheiceáil. atá cumraithe le próiseáil ag baint úsáide as an treoir AddType (mar shampla, is féidir leat iarratas saindeartha a chruthú ar script PHP, as a dtiocfaidh a bhfuil ann a thaispeáint seachas é a fhorghníomhú).

Socraíonn Apache httpd 2.4.60 8 leochaileacht, a bhfuil 5 acu marcáilte mar thábhachtach, agus tugtar isteach 13 athrú. Leochaileachtaí aitheanta:

  • Is saincheist é CVE-2024-38473 i mod_proxy a cheadaíonn seachbhóthar fíordheimhnithe do sheirbhísí ar an inneall trí úsáid a bhaint as ionchódú URL mícheart.
  • CVE-2024-38476 – Má úsáidtear feidhmchlár leochaileach mar inneall, d’fhéadfadh forghníomhú script áitiúil nó sceitheadh ​​faisnéise tarlú.
  • CVE-2024-38474, CVE-2024-38475 - ligeann éalú aschur mod_rewrite mícheart d'ionsaitheoir URL a léiriú chuig eolaire sa chóras comhaid áitiúil atá próiseáilte ag an bhfreastalaí HTTP, ach nach bhfuil inrochtana trí nasc.
  • CVE-2024-38472 - Féidearthacht ionsaí SSRF a dhéanamh i gcoinne freastalaithe ar an ardán Windows.
  • CVE-2024-39573 - deis ionsaí SSRF (brionnú iarratais ar thaobh an fhreastalaí) a dhéanamh ar mod_rewrite, a cheadaíonn próiseáil URL i mod_proxy ag baint úsáide as rialacha neamhchinnte (RewriteRule) atá i láthair sna socruithe.
  • CVE-2024-36387 Diúltú seirbhíse de bharr tagairt pointeora NULLComment agus prótacal WebSocket in úsáid thar HTTP/2.
  • CVE-2024-38477 Seirbhís a dhiúltú nuair a bhíonn iarratas saindeartha i mod_proxy á phróiseáil, de bharr dímheas pointeoir NULL.

Áirítear le hathruithe neamhshlándála:

  • Tacaíocht bhreise chun crios agus raon feidhme seoltaí IPv6 áitiúla a shonrú sna treoracha Éist agus VirtualHost.
  • Nuashonraíodh inneachar an chomhaid mime.types.
  • Cuireadh tacaíocht roghnach leis chun tuairisceoirí comhaid a chur ar aghaidh chuig mod_cgid.
  • Sa mhodúl mod_tls, tá an pacáiste rustls-ffi nuashonraithe go leagan 0.13.0.
  • Tá treoir MDCheckInterval anois ag an modúl mod_md, a úsáidtear chun fáil agus cothabháil deimhnithe a uathoibriú ag baint úsáide as an bprótacal ACME (Timpeallacht Bainistíochta Teastais Uathoibríoch), chun an t-eatramh seiceála cúlghairme deimhnithe a chinneadh.

Foinse: oscailtenet.ru

Ceannaigh óstáil iontaofa do shuímh le cosaint DDoS, freastalaithe VPS VDS 🔥 Ceannaigh óstáil gréasáin iontaofa le cosaint DDoS, freastalaithe VPS VDS | ProHoster