Доступен релиз HTTP-сервера Apache 2.4.61, который опубликован почти сразу после выпуска 2.4.60 и включает исправление регрессивного изменения, вызвавшего уязвимость (CVE-2024-39884), позволяющую посмотреть код скриптов, обработка которых настроена при помощи директивы AddType (например, можно сформировать специально оформленный запрос к PHP-скрипту, который приведёт к показу его содержимого, а не выполнения).
В версии Apache httpd 2.4.60 устранено 8 уязвимостей, из которых 5 помечены как важные, а также представлено 13 изменений. Выявленные уязвимости:
- CVE-2024-38473 – проблема в mod_proxy, позволяющая через использование некорректной кодировки в URL добиться обхода аутентификации к сервисам на бэкенде.
- CVE-2024-38476 – при наличии уязвимого приложения, используемого в качестве бэкенда, можно добиться выполнения локальных скриптов или утечки информации.
- CVE-2024-38474, CVE-2024-38475 – некорректное экранирование вывода mod_rewrite, позволяет атакующему отразить URL на каталог в локальной ФС, который обрабатывается HTTP-сервером, но недоступен по ссылке.
- CVE-2024-38472 – возможность совершения атаки SSRF против серверов на платформе Windows.
- CVE-2024-39573 – возможность осуществить атаку SSRF (Server-side request forgery) на mod_rewrite, позволяющую добиться обработки URL в mod_proxy при помощи присутствующих в настройках небезопасных правил (RewriteRule).
- CVE-2024-36387 – отказ в обслуживании из-за разыменования нулевого указателя при использовании протокола WebSocket поверх HTTP/2.
- CVE-2024-38477 – отказ в обслуживании при обработке специально оформленного запроса в mod_proxy, вызванный разыменованием нулевого указателя.
Среди не связанных с безопасностью изменений:
- В директивах Listen и VirtualHost добавлена поддержка указания зоны и области действия локальных адресов IPv6.
- Обновлено содержимое файла mime.types.
- В mod_cgid добавлена опциональная поддержка передачи файловых дескрипторов.
- В модуле mod_tls до версии 0.13.0 обновлён пакет rustls-ffi.
- В модуле mod_md, применяемом для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment), появилась директива MDCheckInterval для определения интервала проверки отзыва сертификата.
Release.
Ссылка here.