Релиз http-сервера Apache 2.4.61 с устранением уязвимостей

Доступен релиз HTTP-сервера Apache 2.4.61, который опубликован почти сразу после выпуска 2.4.60 и включает исправление регрессивного изменения, вызвавшего уязвимость (CVE-2024–39884), позволяющую посмотреть код скриптов, обработка которых настроена при помощи директивы AddType (например, можно сформировать специально оформленный запрос к PHP-скрипту, который приведёт к показу его содержимого, а не выполнения).

В версии Apache httpd 2.4.60 устранено 8 уязвимостей, из которых 5 помечены как важные, а также представлено 13 изменений. Выявленные уязвимости:

  • CVE-2024–38473 — проблема в mod_proxy, позволяющая через использование некорректной кодировки в URL добиться обхода аутентификации к сервисам на бэкенде.

  • CVE-2024–38476 — при наличии уязвимого приложения, используемого в качестве бэкенда, можно добиться выполнения локальных скриптов или утечки информации.

  • CVE-2024–38474, CVE-2024–38475 — некорректное экранирование вывода mod_rewrite, позволяет атакующему отразить URL на каталог в локальной ФС, который обрабатывается HTTP-сервером, но недоступен по ссылке.

  • CVE-2024–38472 — возможность совершения атаки SSRF против серверов на платформе Windows.

  • CVE-2024–39573 — возможность осуществить атаку SSRF (Server-side request forgery) на mod_rewrite, позволяющую добиться обработки URL в mod_proxy при помощи присутствующих в настройках небезопасных правил (RewriteRule).
  • CVE-2024–36387 — отказ в обслуживании из-за разыменования нулевого указателя при использовании протокола WebSocket поверх HTTP/2.

  • CVE-2024–38477 — отказ в обслуживании при обработке специально оформленного запроса в mod_proxy, вызванный разыменованием нулевого указателя.

Среди не связанных с безопасностью изменений:

  • В директивах Listen и VirtualHost добавлена поддержка указания зоны и области действия локальных адресов IPv6.

  • Обновлено содержимое файла mime.types.
  • В mod_cgid добавлена опциональная поддержка передачи файловых дескрипторов.
  • В модуле mod_tls до версии 0.13.0 обновлён пакет rustls-ffi.
  • В модуле mod_md, применяемом для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment), появилась директива MDCheckInterval для определения интервала проверки отзыва сертификата.



Источник: http://www.opennet.ru/opennews/art.shtml? num=61485

© OpenNet