ProHoster > Blog > tin tức mạng > Bản phát hành máy chủ http Apache 2.4.61 với các lỗ hổng đã được sửa

Bản phát hành máy chủ http Apache 2.4.61 với các lỗ hổng đã được sửa

Đã có sẵn Máy chủ HTTP Apache 2.4.61, được xuất bản gần như ngay sau khi phát hành 2.4.60 và bao gồm bản sửa lỗi cho thay đổi hồi quy gây ra lỗ hổng bảo mật (CVE-2024-39884), cho phép bạn xem mã của tập lệnh được định cấu hình để xử lý bằng lệnh AddType (ví dụ: bạn có thể tạo một yêu cầu được thiết kế đặc biệt cho tập lệnh PHP, điều này sẽ dẫn đến việc hiển thị nội dung của nó thay vì thực thi nó).

Apache httpd 2.4.60 sửa 8 lỗ hổng, 5 trong số đó được đánh dấu là quan trọng và đưa ra 13 thay đổi. Các lỗ hổng được xác định:

  • CVE-2024-38473 là một sự cố trong mod_proxy cho phép bỏ qua xác thực đối với các dịch vụ ở phần phụ trợ thông qua việc sử dụng mã hóa URL không chính xác.
  • CVE-2024-38476 – Nếu có một ứng dụng dễ bị tấn công được sử dụng làm phụ trợ, việc thực thi tập lệnh cục bộ hoặc rò rỉ thông tin có thể xảy ra.
  • CVE-2024-38474, CVE-2024-38475 - việc thoát đầu ra mod_rewrite không chính xác cho phép kẻ tấn công phản ánh URL tới một thư mục trong hệ thống tệp cục bộ được máy chủ HTTP xử lý nhưng không thể truy cập được qua liên kết.
  • CVE-2024-38472 - Khả năng thực hiện tấn công SSRF chống lại may chủ trên nền Windows.
  • CVE-2024-39573 - khả năng thực hiện cuộc tấn công SSRF (giả mạo yêu cầu phía máy chủ) vào mod_rewrite, cho phép xử lý URL trong mod_proxy bằng cách sử dụng các quy tắc không an toàn (RewriteRule) có trong cài đặt.
  • CVE-2024-36387 Từ chối dịch vụ do vô hiệu hóa con trỏ NULL khi sử dụng giao thức WebSocket qua HTTP/2.
  • CVE-2024-38477 Từ chối dịch vụ khi xử lý một yêu cầu được tạo đặc biệt trong mod_proxy, do vô hiệu hóa con trỏ NULL gây ra.

Những thay đổi không liên quan đến bảo mật bao gồm:

  • Đã thêm hỗ trợ để chỉ định vùng và phạm vi của địa chỉ IPv6 cục bộ trong chỉ thị Nghe và Virtualhost.
  • Nội dung của tệp mime.types đã được cập nhật.
  • Đã thêm hỗ trợ tùy chọn để chuyển bộ mô tả tệp tới mod_cgid.
  • Trong mô-đun mod_tls, gói Rustls-ffi đã được cập nhật lên phiên bản 0.13.0.
  • Mô-đun mod_md, được sử dụng để tự động hóa việc nhận và duy trì chứng chỉ bằng giao thức ACME (Môi trường quản lý chứng chỉ tự động), hiện có lệnh MDCheckInterval để xác định khoảng thời gian kiểm tra thu hồi chứng chỉ.

Nguồn: opennet.ru

Mua dịch vụ lưu trữ đáng tin cậy cho các trang web có bảo vệ DDoS, máy chủ VPS VDS 🔥 Mua dịch vụ hosting website đáng tin cậy với bảo vệ DDoS, máy chủ VPS VDS | ProHoster