ProHoster > blog > habari za mtandao > Utoaji wa seva ya Apache 2.4.61 http na udhaifu umewekwa

Utoaji wa seva ya Apache 2.4.61 http na udhaifu umewekwa

Apache HTTP Server 2.4.61 inapatikana, ambayo ilichapishwa mara tu baada ya kutolewa kwa 2.4.60 na inajumuisha marekebisho ya mabadiliko ya urekebishaji ambayo yalisababisha kuathirika (CVE-2024-39884), ambayo hukuruhusu kutazama msimbo wa hati. ambazo zimesanidiwa kushughulikiwa kwa kutumia maagizo ya AddType (kwa mfano, unaweza kuunda ombi iliyoundwa mahususi kwa hati ya PHP, ambayo itasababisha kuonyesha yaliyomo badala ya kuitekeleza).

Apache httpd 2.4.60 hurekebisha udhaifu 8, 5 kati yao umewekwa alama kuwa muhimu, na inaleta mabadiliko 13. Udhaifu uliotambuliwa:

  • CVE-2024-38473 ni suala katika mod_proksi ambayo inaruhusu uthibitishaji wa kupita kwa huduma kwenye upande wa nyuma kupitia matumizi ya usimbaji usio sahihi wa URL.
  • CVE-2024-38476 - Iwapo kuna programu hatarishi inayotumika kama njia ya nyuma, utekelezaji wa hati ya ndani au uvujaji wa habari unaweza kutokea.
  • CVE-2024-38474, CVE-2024-38475 - utoroshaji usio sahihi wa mod_rewrite huruhusu mshambulizi kuakisi URL kwenye saraka katika mfumo wa faili wa ndani ambao huchakatwa na seva ya HTTP, lakini haipatikani kupitia kiungo.
  • CVE-2024-38472 - Uwezekano wa kufanya shambulio la SSRF dhidi ya seva kwenye jukwaa la Windows.
  • CVE-2024-39573 - uwezekano wa kutekeleza shambulio la SSRF (kughushi ombi la upande wa seva) kwenye mod_rewrite, ambayo inaruhusu usindikaji wa URL katika mod_proksi kwa kutumia sheria zisizo salama (RewriteRule) zilizopo kwenye mipangilio.
  • CVE-2024-36387 Kunyimwa huduma kwa sababu ya kuachwa kwa kielekezi NULL unapotumia itifaki ya WebSocket juu ya HTTP/2.
  • CVE-2024-38477 Kunyimwa huduma wakati wa kuchakata ombi lililoundwa mahususi katika mod_proksi, kunakosababishwa na rejeleo la kielekezi NULL.

Mabadiliko yasiyo ya usalama ni pamoja na:

  • Usaidizi ulioongezwa wa kubainisha eneo na upeo wa anwani za ndani za IPv6 katika maagizo ya Sikiliza na VirtualHost.
  • Yaliyomo kwenye faili ya mime.types yamesasishwa.
  • Imeongeza usaidizi wa hiari wa kupitisha maelezo ya faili kwa mod_cgid.
  • Katika moduli ya mod_tls, kifurushi cha rustls-ffi kimesasishwa hadi toleo la 0.13.0.
  • Mod_md moduli, inayotumika kubinafsisha upokeaji na udumishaji wa vyeti kwa kutumia itifaki ya ACME (Mazingira ya Kusimamia Cheti Kiotomatiki), sasa ina maagizo ya MDCheckInterval ili kubaini muda wa kuangalia ubatilishaji wa cheti.

Chanzo: opennet.ru