ProHoster > Log > Internett-nyheter > Apache 2.4.61 http-serverutgivelse med sårbarheter fikset

Apache 2.4.61 http-serverutgivelse med sårbarheter fikset

Apache HTTP Server 2.4.61 er tilgjengelig, som ble publisert nesten umiddelbart etter utgivelsen av 2.4.60 og inkluderer en rettelse for regresjonsendringen som forårsaket sårbarheten (CVE-2024-39884), som lar deg se skriptkodene som er konfigurert til å behandles ved hjelp av AddType-direktivet (du kan for eksempel lage en spesialdesignet forespørsel til et PHP-skript, som vil føre til at innholdet vises i stedet for å kjøre det).

Apache httpd 2.4.60 fikser 8 sårbarheter, hvorav 5 er merket som viktige, og introduserer 13 endringer. Identifiserte sårbarheter:

  • CVE-2024-38473 er ​​et problem i mod_proxy som tillater autentiseringsomgåelse for tjenester på backend ved bruk av feil URL-koding.
  • CVE-2024-38476 – Hvis det er en sårbar applikasjon som brukes som backend, kan lokal skriptkjøring eller informasjonslekkasje oppstå.
  • CVE-2024-38474, CVE-2024-38475 - feilaktig mod_rewrite-utdata-escape lar en angriper reflektere en URL til en katalog i det lokale filsystemet som behandles av HTTP-serveren, men som ikke er tilgjengelig via en lenke.
  • CVE-2024-38472 – Mulighet for å utføre SSRF-angrep mot servere på Windows-plattformen.
  • CVE-2024-39573 - en mulighet for å utføre et SSRF-angrep (Server-side request forgery) på mod_rewrite, som tillater URL-behandling i mod_proxy ved å bruke usikre regler (RewriteRule) som finnes i innstillingene.
  • CVE-2024-36387 En tjenestenekt på grunn av en NULL-pekerderreferanse ved bruk av WebSocket-protokollen over HTTP/2.
  • CVE-2024-38477 Et tjenestenekt ved behandling av en spesiallaget forespørsel i mod_proxy, forårsaket av en NULL-pekerdereference.

Ikke-sikkerhetsendringer inkluderer:

  • Lagt til støtte for å spesifisere sonen og omfanget av lokale IPv6-adresser i Listen- og VirtualHost-direktivene.
  • Innholdet i mime.types-filen har blitt oppdatert.
  • Lagt til valgfri støtte for å sende filbeskrivelser til mod_cgid.
  • I mod_tls-modulen er rustls-ffi-pakken oppdatert til versjon 0.13.0.
  • Mod_md-modulen, som brukes til å automatisere mottak og vedlikehold av sertifikater ved å bruke ACME (Automatic Certificate Management Environment)-protokollen, har nå et MDCheckInterval-direktiv for å bestemme intervallet for tilbakekalling av sertifikater.

Kilde: opennet.ru