ProHoster > Блог > интернет мэдээ > Apache 2.4.61 http серверийн хувилбар нь эмзэг байдлыг зассан

Apache 2.4.61 http серверийн хувилбар нь эмзэг байдлыг зассан

Apache HTTP Server 2.4.61 бэлэн байгаа бөгөөд энэ нь 2.4.60 хувилбар гарсны дараа бараг л хэвлэгдсэн бөгөөд эмзэг байдлыг үүсгэсэн регрессийн өөрчлөлтийн засварыг агуулсан (CVE-2024-39884) нь скриптийн кодыг харах боломжийг олгодог. AddType зааврыг ашиглан боловсруулагдахаар тохируулагдсан (жишээлбэл, та PHP скриптэд тусгайлан боловсруулсан хүсэлтийг үүсгэж болох бөгөөд энэ нь түүнийг гүйцэтгэхийн оронд агуулгыг нь харуулахад хүргэдэг).

Apache httpd 2.4.60 нь 8 эмзэг байдлыг засч, 5-ыг нь чухал гэж тэмдэглэж, 13 өөрчлөлт оруулсан. Тодорхойлсон сул талууд:

  • CVE-2024-38473 нь mod_proxy дээрх асуудал бөгөөд буруу URL кодчилол ашиглан backend дээрх үйлчилгээнүүдийн нэвтрэлт танилтыг тойрч гарах боломжийг олгодог.
  • CVE-2024-38476 – Хэрэв арын хэсэг болгон ашиглаж буй эмзэг програм байгаа бол локал скриптийн гүйцэтгэл эсвэл мэдээлэл алдагдсан байж болзошгүй.
  • CVE-2024-38474, CVE-2024-38475 - буруу mod_rewrite гаралт нь халдагчид HTTP серверээр боловсруулагдсан локал файлын систем дэх лавлах руу URL-г тусгах боломжийг олгодог боловч холбоосоор хандах боломжгүй.
  • CVE-2024-38472 - SSRF халдлага хийх боломж серверүүд тавцан дээр Windows.
  • CVE-2024-39573 - mod_rewrite дээр SSRF (Сервер талын хүсэлтийг хуурамчаар үйлдэх) халдлага хийх боломж бөгөөд энэ нь тохиргоонд байгаа аюулгүй дүрмүүдийг (RewriteRule) ашиглан mod_proxy дээр URL боловсруулах боломжийг олгодог.
  • CVE-2024-36387 HTTP/2-ээр WebSocket протоколыг ашиглах үед NULL заагчаас хамаарсан үйлчилгээнээс татгалзсан.
  • CVE-2024-38477 mod_proxy-д тусгайлан боловсруулсан хүсэлтийг боловсруулах үед NULL заагч заагчаас үүссэн үйлчилгээнээс татгалзсан.

Аюулгүй байдалтай холбоотой бус өөрчлөлтүүдийн дунд:

  • Listen болон VirtualHost зааварт локал IPv6 хаягуудын бүс, хамрах хүрээг зааж өгөх дэмжлэг нэмэгдсэн.
  • mime.types файлын агуулгыг шинэчилсэн.
  • Mod_cgid руу файлын тодорхойлогчийг дамжуулах нэмэлт дэмжлэгийг нэмсэн.
  • mod_tls модулийн rustls-ffi багцыг 0.13.0 хувилбар болгон шинэчилсэн.
  • ACME (Automatic Certificate Management Environment) протоколыг ашиглан гэрчилгээг хүлээн авах, засвар үйлчилгээ хийх ажлыг автоматжуулахад ашигладаг mod_md модуль нь одоо гэрчилгээг хүчингүй болгох шалгах интервалыг тодорхойлох MDCheckInterval заавартай болсон.

Эх сурвалж: opennet.ru

DDoS хамгаалалт, VPS VDS сервер бүхий сайтуудад найдвартай хостинг худалдаж аваарай 🔥 DDoS хамгаалалттай, VPS VDS сервертэй найдвартай вэбсайт хостинг худалдаж аваарай | ProHoster