Apache HTTP Server 2.4.61 可用,該版本幾乎在 2.4.60 發布後立即發布,包含對導致漏洞 (CVE-2024-39884) 的回歸更改的修復,允許您查看腳本代碼配置為使用AddType 指令進行處理(例如,您可以建立針對PHP 腳本的專門設計的請求,這將導致顯示其內容而不是執行它)。
Apache httpd 2.4.60 修正了 8 個漏洞,其中 5 個被標記為重要漏洞,並引入了 13 項變更。已發現的漏洞:
- CVE-2024-38473 是 mod_proxy 中的一個問題,允許透過使用不正確的 URL 編碼來繞過後端服務的身份驗證。
- CVE-2024-38476 – 如果存在存在漏洞的應用程式用作後端,則可能會發生本機腳本執行或資訊洩漏。
- CVE-2024-38474、CVE-2024-38475 - 不正確的 mod_rewrite 輸出轉義允許攻擊者將 URL 反射到本機檔案系統中由 HTTP 伺服器處理的目錄,但無法透過連結存取。
- CVE-2024-38472 - 可能針對此漏洞發動 SSRF 攻擊 服務器 在平台上 Windows.
- CVE-2024-39573 - 可能對 mod_rewrite 進行 SSRF(伺服器端請求偽造)攻擊,這允許使用設定中存在的不安全規則 (RewriteRule) 在 mod_proxy 中進行 URL 處理。
- CVE-2024-36387 在 HTTP/2 上使用 WebSocket 協定時,由於 NULL 指標取消引用而導致拒絕服務。
- CVE-2024-38477 在 mod_proxy 中處理特製請求時,由於 NULL 指標取消引用而導致拒絕服務。
非安全變更包括:
- 新增了對在 Listen 和 VirtualHost 指令中指定本機 IPv6 位址的區域和範圍的支援。
- mime.types 檔案的內容已更新。
- 新增了將檔案描述符傳遞給 mod_cgid 的可選支援。
- 在 mod_tls 模組中,rustls-ffi 軟體包已更新至版本 0.13.0。
- mod_md 模組用於使用 ACME(自動證書管理環境)協定自動接收和維護證書,現在有一個 MDCheckInterval 指令來確定證書撤銷檢查間隔。
來源: opennet.ru
