聚焦源代码安全,网罗国内外最新资讯!
**作者:**Pierluigi Paganini
编译:代码卫士
Apache 软件基金会修复了Apache HTTP Server 中的多个漏洞,其中包括拒绝服务 (DoS)、远程代码执行和越权访问等问题。
其中一个漏洞是严重的源代码披露漏洞,编号为CVE-2024-39884。安全公告提到,“Apache HTTP Server 2.4.60内核中的回归忽视了句柄的基于遗留内容类型配置的某些使用。’AddType’和类似配置在一定的情况下即间接请求文件时,可导致本地内容的源代码遭泄露。例如,PHP脚本会被提供而非被翻译。”
CVE-2024-39884由处理遗留内容类型配置的回归导致。在一定条件下,当 “AddType” 指令和类似设置被使用时,可无意间暴露将被处理的文件(如服务器端脚本和配置文件)的源代码,从而导致敏感数据被暴露给攻击者。
Apache 软件基金会建议用户升级至版本2.4.61。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
【已复现】Apache OFBiz 路径遍历漏洞(CVE-2024-36104)安全风险通告
Apache Superset 漏洞导致服务器易遭RCE攻击
Apache Superset 会话验证漏洞可导致攻击者访问未授权资源
原文链接
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
