长亭百川云 - 文章详情

Apache 修复 Apache HTTP Server 中的源代码泄露漏洞

代码卫士

83

2024-07-13

 聚焦源代码安全,网罗国内外最新资讯!

**作者:**Pierluigi Paganini

编译:代码卫士

Apache 软件基金会修复了Apache HTTP Server 中的多个漏洞,其中包括拒绝服务 (DoS)、远程代码执行和越权访问等问题。

其中一个漏洞是严重的源代码披露漏洞,编号为CVE-2024-39884。安全公告提到,“Apache HTTP Server 2.4.60内核中的回归忽视了句柄的基于遗留内容类型配置的某些使用。’AddType’和类似配置在一定的情况下即间接请求文件时,可导致本地内容的源代码遭泄露。例如,PHP脚本会被提供而非被翻译。”

CVE-2024-39884由处理遗留内容类型配置的回归导致。在一定条件下,当 “AddType” 指令和类似设置被使用时,可无意间暴露将被处理的文件(如服务器端脚本和配置文件)的源代码,从而导致敏感数据被暴露给攻击者。

Apache 软件基金会建议用户升级至版本2.4.61。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com


推荐阅读

【已复现】Apache OFBiz 路径遍历漏洞(CVE-2024-36104)安全风险通告

Apache 项目中存在依赖混淆漏洞

Apache Superset 漏洞导致服务器易遭RCE攻击

Apache Ivy 注入漏洞可导致攻击者提取敏感数据

Apache Superset 会话验证漏洞可导致攻击者访问未授权资源

原文链接

https://securityaffairs.com/165422/security/apache-source-code-disclosure-flaw-apache-http-server.html

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2