Релиз http-сервера Apache 2.4.61 с устранением уязвимостей

Новости мира unix. Хотите узнать секрет вечного счастья? Откройте страницу 246.
Ответить
acolyte
Аватара пользователя
Сообщения: 3246
Зарегистрирован: 20.08.2022

#

Релиз http-сервера Apache 2.4.61 с устранением уязвимостей
Дата публикации:Wed, 03 Jul 2024 23:08:22 +0300




Доступен релиз HTTP-сервера Apache 2.4.61, который опубликован почти сразу после выпуска 2.4.60 и включает исправление регрессивного изменения, вызвавшего уязвимость (CVE-2024-39884), позволяющую посмотреть код скриптов, обработка которых настроена при помощи директивы AddType (например, можно сформировать специально оформленный запрос к PHP-скрипту, который приведёт к показу его содержимого, а не выполнения).




В версии Apache httpd 2.4.60 устранено 8 уязвимостей, из которых 5 помечены как важные, а также представлено 13 изменений. Выявленные уязвимости:
  • CVE-2024-38473 - проблема в mod_proxy, позволяющая через использование некорректной кодировки в URL добиться обхода аутентификации к сервисам на бэкенде.

    CVE-2024-38476 - при наличии уязвимого приложения, используемого в качестве бэкенда, можно добиться выполнения локальных скриптов или утечки информации.

    CVE-2024-38474, CVE-2024-38475 - некорректное экранирование вывода mod_rewrite, позволяет атакующему отразить URL на каталог в локальной ФС, который обрабатывается HTTP-сервером, но недоступен по ссылке.



    CVE-2024-38472 - возможность совершения атаки SSRF против серверов на платформе Windows.

    CVE-2024-39573 - возможность осуществить атаку SSRF (Server-side request forgery) на mod_rewrite, позволяющую добиться обработки URL в mod_proxy при помощи присутствующих в настройках небезопасных правил (RewriteRule).
    CVE-2024-36387 - отказ в обслуживании из-за разыменования нулевого указателя при использовании протокола WebSocket поверх HTTP/2.


    CVE-2024-38477 - отказ в обслуживании при обработке специально оформленного запроса в mod_proxy, вызванный разыменованием нулевого указателя.


Среди не связанных с безопасностью изменений:
  • В директивах Listen и VirtualHost добавлена поддержка указания зоны и области действия локальных адресов IPv6.

    Обновлено содержимое файла mime.types.
    В mod_cgid добавлена опциональная поддержка передачи файловых дескрипторов.
    В модуле mod_tls до версии 0.13.0 обновлён пакет rustls-ffi.
    В модуле mod_md, применяемом для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment), появилась директива MDCheckInterval для определения интервала проверки отзыва сертификата.


Новость позаимствована с opennet.ru
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=61485

Жизнь за Нер'зула!

Ответить

Вернуться в «Глобальные новости»